最新網(wǎng)絡(luò)釣魚(yú)技術(shù)利用偽造字體逃避檢測(cè)
責(zé)編:gltian |2019-01-11 15:31:44安全公司Proofpoint警告稱(chēng),最近針對(duì)某美國(guó)大銀行的用戶(hù)發(fā)起的網(wǎng)絡(luò)釣魚(yú)攻擊使用偽造字體逃避檢測(cè)。
這種新出現(xiàn)的網(wǎng)絡(luò)釣魚(yú)樣式使用偽造網(wǎng)頁(yè)字體渲染精心編制的網(wǎng)絡(luò)釣魚(yú)頁(yè)面并盜取用戶(hù)憑證。在瀏覽器中渲染時(shí),此類(lèi)網(wǎng)絡(luò)釣魚(yú)頁(yè)面使用被盜標(biāo)志假冒該銀行,就像典型的網(wǎng)絡(luò)釣魚(yú)頁(yè)面會(huì)做的那樣。
該新型網(wǎng)絡(luò)釣魚(yú)工具與眾不同的地方在于,頁(yè)面的源代碼中包含非預(yù)期的編碼顯示文本。Proofpoint表示,這還是首次發(fā)現(xiàn)網(wǎng)頁(yè)字體被用于實(shí)現(xiàn)編碼操作。
即便從網(wǎng)頁(yè)上復(fù)制下來(lái)再粘貼到文本文件中,顯示的結(jié)果還是經(jīng)過(guò)編碼的字符。
不過(guò),該文本用簡(jiǎn)單的字符替換密碼就能解密,實(shí)際上簡(jiǎn)化了自動(dòng)化系統(tǒng)的檢測(cè)。
利用替換函數(shù)的網(wǎng)絡(luò)釣魚(yú)工具包經(jīng)常在JavaScript中實(shí)現(xiàn)這些功能,但最近的攻擊沒(méi)有在頁(yè)面源代碼中使用此類(lèi)功能,而是將替換源放進(jìn)了登錄頁(yè)面的級(jí)聯(lián)樣式表(CSS)代碼中。
該網(wǎng)絡(luò)釣魚(yú)工具沒(méi)有../fonts/字體目錄,只加載base64編碼的woff(Web開(kāi)放字體格式)和woff2字體。但是,攻擊者使用的是這些網(wǎng)頁(yè)字體文件的修改版。
安全研究人員解釋道:
該網(wǎng)絡(luò)釣魚(yú)利用自定義的網(wǎng)頁(yè)字體文件令瀏覽器將密碼當(dāng)成明文渲染。因?yàn)閣off默認(rèn)字體是以標(biāo)準(zhǔn)字母表順序排列,將預(yù)期字母‘a(chǎn)bcdefghi……’替換成別的文本,想要的文本就會(huì)顯示在瀏覽器中,而不存在于頁(yè)面本身。
該網(wǎng)絡(luò)釣魚(yú)頁(yè)面還通過(guò)可縮放矢量圖形(SVG)渲染被盜銀行標(biāo)志,也就是說(shuō),該標(biāo)志及標(biāo)志源并不出現(xiàn)在源代碼里。
Mimecast安全策略師 Matthew Gardiner 表示:Web(html、CSS、http)天生動(dòng)態(tài),無(wú)論網(wǎng)頁(yè)是通過(guò)網(wǎng)站交付并在瀏覽器中顯示,還是通過(guò)電子郵件在郵件客戶(hù)端中顯示,攻擊者都能用該動(dòng)態(tài)性繞過(guò)靜態(tài)的安全控制。
Proofpoint稱(chēng)其是在2018年5月首次注意到這種新的網(wǎng)絡(luò)釣魚(yú)工具,但之前的攻擊中也有可能早已出現(xiàn)。工具樣本的資源文件中觀(guān)測(cè)到的存檔日期是2018年6月初。
Proofpoint總結(jié)道:
黑客一直在引入新的檢測(cè)規(guī)避技術(shù)兵隱藏其惡意活動(dòng)。雖然替換密碼本身很簡(jiǎn)單,通過(guò)網(wǎng)頁(yè)字體文件來(lái)實(shí)現(xiàn)就很特別了,給了網(wǎng)絡(luò)釣魚(yú)者又一種隱藏蹤跡和欺騙消費(fèi)者的技術(shù)。
該網(wǎng)絡(luò)釣魚(yú)工具混淆技術(shù)再次顯示出惡意軟件作者的不斷創(chuàng)新。
黑客工具變得越來(lái)越復(fù)雜,有更多新戰(zhàn)術(shù)可用于規(guī)避檢測(cè);網(wǎng)站和移動(dòng)App運(yùn)營(yíng)商應(yīng)提升識(shí)別這些工具的能力。
監(jiān)視代碼的一個(gè)好辦法是持續(xù)掃描數(shù)字資產(chǎn)查找各類(lèi)代碼。如果此類(lèi)工具安裝在自家網(wǎng)站,不管用了什么混淆技術(shù),都可以識(shí)別出新加入的未授權(quán)代碼。
Proofpoint威脅研究鏈接:
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶(hù)賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!