Microsoft, fark edilmemek için Mors kodunun kullanılması da dahil olmak üzere gelişmiş taktikler kullanan bir kimlik avı (phishing) kampanyası hakkında yeni ayrıntıları yayınladı. Microsoft Security Intelligence araştırmacıları tarafından bir yıl boyunca yürütülen inceleme sırasında, kampanyanın arkasındaki siber suçlular çalışmalarının tespit edilmesini önlemek için ortalama 37 günde bir gizleme ve şifreleme mekanizmalarını değiştirdi.
Kampanyanın kendisi, daha sonra çeşitli mekanizmalar kullanılarak kodlanan şifreleri çalmak için kullanılan JavaScript dosyaları dahil olmak üzere çeşitli bölümlere ayrılmış fatura temalı bir XLS.HTML eki kullanmaktaydı. Microsoft'un incelemesi boyunca saldırganlar, düz metin HTML kodu kullanmaktan, yeni bir blog gönderisine göre bu saldırı bölümlerini gizlemek için Mors kodu gibi bazı eski ve olağandışı şifreleme yöntemleri de dahil olmak üzere birden çok kodlama tekniği kullanmaya geçti.
Ayrıca fark edilme ihtimalini azaltmak için, kampanyada kullanılan bazı kod bölümleri ekin kendisinde bile mevcut değildi ve bunun yerine bir dizi açık dizinde bulunuyordu.
Bu XLS.HTML kimlik avı kampanyası, sahte ödeme bildirimleri biçiminde mali bağlantılı ticari işlemlerin görünümünü taklit eden e-postalar oluşturmak için sosyal mühendisliği kullanmaktaydı.
Kampanyanın birincil hedefi, kimlik bilgilerini toplamak olsa da ve başlangıçta kullanıcı adları ve şifreleri toplanırken, daha yakın tarihli yinelemesinde, arkasındaki siber suçluların daha sonraki sızma girişimleri için ilk giriş noktası olarak kullandığı IP adresleri ve konumlar gibi diğer bilgileri de toplamaya başladığı görüldü.
Ek dosyasında kullanıcıların bir Excel dosyası beklemelerini söyleyen XLS kullanılmasına rağmen, ek dosyası açıldığında potansiyel kurbanları sahte bir Microsoft Office 365 oturum açma sayfasına götüren bir tarayıcı penceresine götürüyor. Sayfada karşılaşılan bir iletişim kutusu ise, kullanıcıların Excel belgesine erişimleri sözde zaman aşımına uğradığı için yeniden oturum açmalarını istiyor. Ancak, bir kullanıcı bu iletişim kutusuna parolasını girdiğinde, arka planda çalışan saldırgan kontrollü bir kimlik avı kiti kimlik bilgilerini toplarken, gönderilen parolanın yanlış olduğunu söyleyen sahte bir not ile karşılaşıyor.
Bu kampanyayı diğerlerinden ayıran temel özelliği ise arkasındaki siber suçluların, güvenlik kontrollerini atlatacak şekilde HTML dosyasını kodlamak için büyük çaba sarf etmesi olduğu söylenebilir. Her zaman olduğu gibi, kullanıcıların özellikle bir dosyaya erişmek veya makroları etkinleştirmelerini istemek için çevrimiçi bir hizmette oturum açmalarını istediklerinde, bilinmeyen gönderenlerden gelen e-postaları açmaktan kaçınmaları tavsiye ediliyor.