安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2019-01-12 00:00:00  来源:本站整理

网络钓鱼模板使用假字体来解码内容并逃避检测[安全新闻]

赞助商链接



  本文“网络钓鱼模板使用假字体来解码内容并逃避检测[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

Proofpoint研究人员最近观察到一个网络钓鱼工具包,它在冒充大型银行收集凭据的过程中使用了一种特殊编码。虽然钓鱼工具包中对源码进行编码以及各种混淆机制均已记录在案,但这种使用Web字体实现编码的技术确实是独一无二的。
在浏览器中呈现的网络钓鱼登陆页面,是一个典型的假冒大牌银行进行网上银行凭证网络钓鱼的页面。但是,页面的源代码包含不常见的编码的可见文本(图1)

图1:网络钓鱼登陆页的代码片段
从网页复制明文并将其粘贴到文本文件中就能生成编码的文本。
可以通过简单的字符替换密码对文本进行解码,使得对于自动化系统的网络钓鱼登陆页面的检测变得简单。但是,在此情形之下实施替代值得进一步商榷。
网络钓鱼工具包中的替换函数通常在JavaScript中实现,但页面源中不会出现此类函数。相反,我们在CSS代码中确定了登陆页的替换源(图2)。

图2:来自网络钓鱼登陆页面源代码的CSS @ font-face规则
在审查了威胁行为者留下的许多仿冒钓鱼工具包之后,我们知道在../fonts/目录中没有工具包,使得base64编码的woff和woff2成为唯一加载的字体。
如果我们提取、转换和查看woff和woff2 web字体文件,我们会看到以下字体规范:

图3:“woff”字体规范
然后,此网络钓鱼登陆页面使用自定义Web字体文件使浏览器将密文呈现为明文。由于Web开放字体格式(WOFF)期望字体按标准字母顺序排列,将预期字母“abcdefghi …”替换为要替换的字母,预期文本将显示在浏览器中,但不会存在于页面上。
还值得注意的是,被盗用的银行品牌是通过SVG(可缩放矢量图形)呈现的,因此徽标及其来源不会出现在源代码中(图4)。实际徽标和其他可视资源的链接也可能被模仿的品牌检测到。

图4:显示被盗银行徽标的SVG的代码片段
我们首先在2018年5月观察到该工具包的使用,但该工具包肯定更早出现在野外。我们在此工具包样本中观察到的资源文件的大多数存档日期都是2018年6月初。
总结
威胁行为者继续引入新技术来逃避检测,并将活动隐藏在毫无戒心的受害者,安全供应商,甚至精明的机构中。在本案例中,攻击者开发了一个网络钓鱼模板,该模板使用自定义Web字体来实现替换密码,提供精心设计的美国主要银行的网络钓鱼页面来获取凭据。虽然替换密码本身很简单,但是通过Web字体文件的实现看起来是独一无二的,这使得网络钓鱼行为者具备了另一种隐藏其踪迹和欺骗消费者的技术。
IOCs
我们确定了几个与网络钓鱼工具包相关联的电子邮件地址,这些地址都在PHP源代码中,并且硬编码为被盗凭据的收件人。这些地址包括:
· fatima133777@gmail[.]com
· fitgirlp0rtia@gmail[.]com
· hecklerkiller@yandex[.]com
· netty6040@aol[.]com
· nicholaklaus@yandex[.]com
· oryodavied@gmail[.]com
· realunix00@gmail[.]com
· slidigeek@gmail[.]com
· zerofautes@outlook[.]com
 


  以上是“网络钓鱼模板使用假字体来解码内容并逃避检测[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 网络钓鱼模板使用假字体来解码内容并逃避检测
  • 网络钓鱼模板使用假字体来解码内容并逃避检测
  • 如何在移动设备上检测网络钓鱼攻击
  • 黑客无需网络钓鱼进入Email收件箱
  • 新的网络钓鱼攻击的目标与亚马逊用户
  • 在寻找苹果iTunes网络钓鱼邮件
  • 索莱拉研究总监发现一个混合型的鱼叉式网络钓鱼攻击
  • 不要成为Twitter的网络钓鱼诱饵
  • 你能告诉一个真正的Facebook电子邮件,网络钓鱼企图?
  • 前期成本较高,尽管骗子选择鱼叉式网络钓鱼
  • 网络钓鱼者利用谷歌文档与Gmail激活警报
  • F-Secure的报告,追踪到的网络钓鱼网站谷歌的云服务器
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .