- A+
网络钓鱼活动正在使用一种新技术来隐藏其目标网页的源代码 - 并窃取美国主要银行客户的凭据。
一种阴险的网络钓鱼方法使用前所未有的技术来逃避检测,该技术利用自定义字体覆盖其轨道。
Proofpoint的研究人员最近发现了一种有效的凭证收集网络钓鱼方案。 一旦受害者点击了最初的网络钓鱼电子邮件,最终的登陆页面看起来就像一家美国主要银行的登录页面 - 但实际上该页面倾向于窃取银行客户的凭据,Proofpoint的威胁情报负责人Chris Dawson告诉Threatpost。 网络钓鱼工具包使用自定义Web字体来混淆登录页面的源代码 - 使其看起来无害。
“尽管编码源代码和各种混淆机制已在钓鱼工具包中得到充分记录,但这种技术在使用网络字体实现编码方面似乎是独一无二的,”Proofpoint的研究人员在周四的技术分析中表示。 。
单击以展开。
在进一步分析着陆页后,研究人员惊讶地发现页面的源代码包含意外编码的显示文本 - 即使它已被复制并粘贴到文本文件中。
这个技巧的背后是Web开放字体格式(WOFF)文件,它是以开放格式创建的网络字体文件,可以提供网页字体。 base64编码的woff和woff2文件安装替换密码。
基本上,替换密码用源代码中的其他字母替换页面上受害者显示的预期字母(“abcdefghi ...”)。
对于查看页面的潜在受害者来说,诀窍意味着他们的浏览器将加密文本呈现为明文 - 实际上使登陆页面的真正目的更难以检测。
这些替换函数也在着陆页的CSS代码中标识,与其他经常在JavaScript中实现的网络钓鱼工具包中使用的不同。
网络钓鱼技术还有另外一个技巧:以可缩放的矢量图形格式使用银行品牌的图像,以便徽标及其来源不会出现在源代码中。 这可以回避链接到实际徽标和其他可视资源的过程,这些可能会被模仿品牌检测到。
道森说,首次观察到钓鱼工具包在2018年5月被使用 - 但该工具包有可能更早出现在野外。 并且,它仍在使用,有许多活动域托管该套件。
潜在的受害者一如既往地应该非常小心点击URL并直接进入银行网站而不是关注链接。
“这实际上只是威胁演员希望隐藏其轨道的另一种方式,”道森告诉我们。 “无论是通过各种代码机制还是通过新颖的方式进行检测,都只是为了提高效率。”
