Фишеры – для обхода защитных почтовых шлюзов и фильтров – начали использовать нетривиальный метод сокрытия вредоноса: теги JavaScript, внедряемые в HTML-код, шифруются с использованием азбуки Морзе. Первые следы такой схемы найдены 2 февраля.
Фейковые сообщения замаскированы под требование оплаты услуг от имени «организации». Аттач якобы содержит счёт-фактуру на имя получателя письма, однако имеет двойное расширение – «._xlsx.hTML».
При просмотре вложения в текстовом редакторе обнаружился JavaScript, сопоставляющий буквы и цифры с символами кода Морзе. Сценарий вызывает функцию decodeMorse(). В итоге получается шестнадцатеричная строка, декодирование которой выявляет теги JavaScript, подставляемые в HTML-код страницы.
Внедрение скриптов обеспечивает ресурсы, необходимые для рендеринга фейк-таблицы Excel с диалоговым окном – жертве сообщается, что время авторизации истекло и необходимо повторно ввести пароль. После ввода пароля данные из формы отправятся на сервер фишеров.