網(wǎng)絡(luò)釣魚模板使用假字體來解碼內(nèi)容并逃避檢測

時間：2023-06-09 11:51:01 | 來源：網(wǎng)站運營

時間：2023-06-09 11:51:01 來源：網(wǎng)站運營

網(wǎng)絡(luò)釣魚模板使用假字體來解碼內(nèi)容并逃避檢測：

概述

Proofpoint研究人員最近觀察到一個網(wǎng)絡(luò)釣魚工具包，它在冒充大型銀行收集憑據(jù)的過程中使用了一種特殊編碼。雖然釣魚工具包中對源碼進(jìn)行編碼以及各種混淆機制均已記錄在案，但這種使用Web字體實現(xiàn)編碼的技術(shù)確實是獨一無二的。

在瀏覽器中呈現(xiàn)的網(wǎng)絡(luò)釣魚登陸頁面，是一個典型的假冒大牌銀行進(jìn)行網(wǎng)上銀行憑證網(wǎng)絡(luò)釣魚的頁面。但是，頁面的源代碼包含不常見的編碼的可見文本（圖1）




從網(wǎng)頁復(fù)制明文并將其粘貼到文本文件中就能生成編碼的文本。

可以通過簡單的字符替換密碼對文本進(jìn)行解碼，使得對于自動化系統(tǒng)的網(wǎng)絡(luò)釣魚登陸頁面的檢測變得簡單。但是，在此情形之下實施替代值得進(jìn)一步商榷。

網(wǎng)絡(luò)釣魚工具包中的替換函數(shù)通常在JavaScript中實現(xiàn)，但頁面源中不會出現(xiàn)此類函數(shù)。相反，我們在CSS代碼中確定了登陸頁的替換源（圖2）。

在審查了威脅行為者留下的許多仿冒釣魚工具包之后，我們知道在../fonts/目錄中沒有工具包，使得base64編碼的woff和woff2成為唯一加載的字體。

如果我們提取、轉(zhuǎn)換和查看woff和woff2 web字體文件，我們會看到以下字體規(guī)范：

然后，此網(wǎng)絡(luò)釣魚登陸頁面使用自定義Web字體文件使瀏覽器將密文呈現(xiàn)為明文。由于Web開放字體格式（WOFF）期望字體按標(biāo)準(zhǔn)字母順序排列，將預(yù)期字母“abcdefghi …”替換為要替換的字母，預(yù)期文本將顯示在瀏覽器中，但不會存在于頁面上。

還值得注意的是，被盜用的銀行品牌是通過SVG（可縮放矢量圖形）呈現(xiàn)的，因此徽標(biāo)及其來源不會出現(xiàn)在源代碼中（圖4）。實際徽標(biāo)和其他可視資源的鏈接也可能被模仿的品牌檢測到。

我們首先在2018年5月觀察到該工具包的使用，但該工具包肯定更早出現(xiàn)在野外。我們在此工具包樣本中觀察到的資源文件的大多數(shù)存檔日期都是2018年6月初。

總結(jié)

威脅行為者繼續(xù)引入新技術(shù)來逃避檢測，并將活動隱藏在毫無戒心的受害者，安全供應(yīng)商，甚至精明的機構(gòu)中。在本案例中，攻擊者開發(fā)了一個網(wǎng)絡(luò)釣魚模板，該模板使用自定義Web字體來實現(xiàn)替換密碼，提供精心設(shè)計的美國主要銀行的網(wǎng)絡(luò)釣魚頁面來獲取憑據(jù)。雖然替換密碼本身很簡單，但是通過Web字體文件的實現(xiàn)看起來是獨一無二的，這使得網(wǎng)絡(luò)釣魚行為者具備了另一種隱藏其蹤跡和欺騙消費者的技術(shù)。

IOCs

我們確定了幾個與網(wǎng)絡(luò)釣魚工具包相關(guān)聯(lián)的電子郵件地址，這些地址都在PHP源代碼中，并且硬編碼為被盜憑據(jù)的收件人。這些地址包括：

· fatima133777@gmail[.]com

· fitgirlp0rtia@gmail[.]com

· hecklerkiller@yandex[.]com

· netty6040@aol[.]com

· nicholaklaus@yandex[.]com

· oryodavied@gmail[.]com

· realunix00@gmail[.]com

· slidigeek@gmail[.]com

· zerofautes@outlook[.]com

本文翻譯自：https://www.proofpoint.com/us/threat-insight/post/phishing-template-uses-fake-fonts-decode-content-and-evade-detection如若轉(zhuǎn)載，請注明原文地址： http://www.4hou.com/web/15609.html 更多內(nèi)容請關(guān)注“嘶吼專業(yè)版”——Pro4hou