安全公司Proofpoint警告称,最近针对某美国大银行的用户发起的网络钓鱼攻击使用伪造字体逃避检测。
这种新出现的网络钓鱼样式使用伪造网页字体渲染精心编制的网络钓鱼页面并盗取用户凭证。在浏览器中渲染时,此类网络钓鱼页面使用被盗标志假冒该银行,就像典型的网络钓鱼页面会做的那样。
该新型网络钓鱼工具与众不同的地方在于,页面的源代码中包含非预期的编码显示文本。Proofpoint表示,这还是首次发现网页字体被用于实现编码操作。
即便从网页上复制下来再粘贴到文本文件中,显示的结果还是经过编码的字符。
不过,该文本用简单的字符替换密码就能解密,实际上简化了自动化系统的检测。
利用替换函数的网络钓鱼工具包经常在JavaScript中实现这些功能,但最近的攻击没有在页面源代码中使用此类功能,而是将替换源放进了登录页面的级联样式表(CSS)代码中。
该网络钓鱼工具没有../fonts/字体目录,只加载base64编码的woff(Web开放字体格式)和woff2字体。但是,攻击者使用的是这些网页字体文件的修改版。
安全研究人员解释道:
该网络钓鱼利用自定义的网页字体文件令浏览器将密码当成明文渲染。因为woff默认字体是以标准字母表顺序排列,将预期字母‘abcdefghi……’替换成别的文本,想要的文本就会显示在浏览器中,而不存在于页面本身。
该网络钓鱼页面还通过可缩放矢量图形(SVG)渲染被盗银行标志,也就是说,该标志及标志源并不出现在源代码里。
Mimecast安全策略师 Matthew Gardiner 表示:Web(html、CSS、http)天生动态,无论网页是通过网站交付并在浏览器中显示,还是通过电子邮件在邮件客户端中显示,攻击者都能用该动态性绕过静态的安全控制。
Proofpoint称其是在2018年5月首次注意到这种新的网络钓鱼工具,但之前的攻击中也有可能早已出现。工具样本的资源文件中观测到的存档日期是2018年6月初。
Proofpoint总结道:
黑客一直在引入新的检测规避技术兵隐藏其恶意活动。虽然替换密码本身很简单,通过网页字体文件来实现就很特别了,给了网络钓鱼者又一种隐藏踪迹和欺骗消费者的技术。
该网络钓鱼工具混淆技术再次显示出恶意软件作者的不断创新。
黑客工具变得越来越复杂,有更多新战术可用于规避检测;网站和移动App运营商应提升识别这些工具的能力。
监视代码的一个好办法是持续扫描数字资产查找各类代码。如果此类工具安装在自家网站,不管用了什么混淆技术,都可以识别出新加入的未授权代码。
Proofpoint威胁研究链接:
https://www.proofpoint.com/us/threat-insight/post/phishing-template-uses-fake-fonts-decode-content-and-evade-detection
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。