最新網絡釣魚技術利用偽造字體逃避檢測
責編:gltian |2019-01-11 15:31:44安全公司Proofpoint警告稱,最近針對某美國大銀行的用戶發起的網絡釣魚攻擊使用偽造字體逃避檢測。
這種新出現的網絡釣魚樣式使用偽造網頁字體渲染精心編制的網絡釣魚頁面并盜取用戶憑證。在瀏覽器中渲染時,此類網絡釣魚頁面使用被盜標志假冒該銀行,就像典型的網絡釣魚頁面會做的那樣。
該新型網絡釣魚工具與眾不同的地方在于,頁面的源代碼中包含非預期的編碼顯示文本。Proofpoint表示,這還是首次發現網頁字體被用于實現編碼操作。
即便從網頁上復制下來再粘貼到文本文件中,顯示的結果還是經過編碼的字符。
不過,該文本用簡單的字符替換密碼就能解密,實際上簡化了自動化系統的檢測。
利用替換函數的網絡釣魚工具包經常在JavaScript中實現這些功能,但最近的攻擊沒有在頁面源代碼中使用此類功能,而是將替換源放進了登錄頁面的級聯樣式表(CSS)代碼中。
該網絡釣魚工具沒有../fonts/字體目錄,只加載base64編碼的woff(Web開放字體格式)和woff2字體。但是,攻擊者使用的是這些網頁字體文件的修改版。
安全研究人員解釋道:
該網絡釣魚利用自定義的網頁字體文件令瀏覽器將密碼當成明文渲染。因為woff默認字體是以標準字母表順序排列,將預期字母‘abcdefghi……’替換成別的文本,想要的文本就會顯示在瀏覽器中,而不存在于頁面本身。
該網絡釣魚頁面還通過可縮放矢量圖形(SVG)渲染被盜銀行標志,也就是說,該標志及標志源并不出現在源代碼里。
Mimecast安全策略師 Matthew Gardiner 表示:Web(html、CSS、http)天生動態,無論網頁是通過網站交付并在瀏覽器中顯示,還是通過電子郵件在郵件客戶端中顯示,攻擊者都能用該動態性繞過靜態的安全控制。
Proofpoint稱其是在2018年5月首次注意到這種新的網絡釣魚工具,但之前的攻擊中也有可能早已出現。工具樣本的資源文件中觀測到的存檔日期是2018年6月初。
Proofpoint總結道:
黑客一直在引入新的檢測規避技術兵隱藏其惡意活動。雖然替換密碼本身很簡單,通過網頁字體文件來實現就很特別了,給了網絡釣魚者又一種隱藏蹤跡和欺騙消費者的技術。
該網絡釣魚工具混淆技術再次顯示出惡意軟件作者的不斷創新。
黑客工具變得越來越復雜,有更多新戰術可用于規避檢測;網站和移動App運營商應提升識別這些工具的能力。
監視代碼的一個好辦法是持續掃描數字資產查找各類代碼。如果此類工具安裝在自家網站,不管用了什么混淆技術,都可以識別出新加入的未授權代碼。
Proofpoint威脅研究鏈接: