首例使用假字体来逃避安全检测的网络钓鱼活动

雨点打透心脏的1/2处 2022-01-16 17:33 180阅读 0赞

Proofpoint研究人员最近观察到一种网络钓鱼工具包，其特殊编码用于冒充主要零售银行的凭证获取计划。虽然编码源代码和各种混淆机制已在钓鱼工具包中得到充分记录，但这种技术在使用Web字体实现编码方面似乎是独一无二的。

当钓鱼登录页面在浏览器中呈现时，用户将看到一个典型的利用窃取的银行品牌的网上银行证书钓鱼。然而，页面的源代码包含了意外编码的显示文本(图1)。

![E5_9B_BE_E4_B8_80-1.png][]

从网页复制明文并粘贴到文本文件中仍然会产生编码文本。文本可以通过一个简单的字符替换密码进行解码，使自动系统检测钓鱼登录页变得简单。然而，在这种情况下，替换的实现情况值得进一步审查。

钓鱼工具包中的替换函数通常是用JavaScript实现的，但在页面源代码中没有出现这种函数。相反，研究人员在登录页面的CSS代码中标识了替换的来源(图2)。

![E5_9B_BE_E4_BA_8C.png][]

在审查了许多威胁行动者留下的钓鱼工具副本后，研究者知/fonts/目录在工具包中不存在，因此base64编码的woff和woff2是唯一加载的字体。如果我们提取、转换和查看woff和woff2 web字体文件，我们将看到以下字体规范:（图3）

![E5_9B_BE_E4_B8_89.png][]

这种钓鱼登陆然后利用自定义web字体文件，使浏览器呈现密文为明文。由于Web开放字体格式（WOFF）期望字体按标准字母顺序排列，将预期字母“abcdefghi ...”替换为要替换的字母，预期文本将显示在浏览器中，但不会存在于页面上。

同样值得注意的是，被盗的银行品牌是通过SVG(可伸缩向量图形)呈现的，因此logo及其来源不会出现在源代码中。

研究人员在2018年5月首次观察到这种工具包的使用，但它很有可能更早出现在野外。他们在该工具包样本中观察到的资源文件的存档日期大多为2018年6月初。

威胁行动者持续引入新技术，以逃避检测，并向毫无戒心的受害者、安全供应商、甚至精明的组织进行品牌滥用，隐藏他们的活动。在本文中，他们开发了一个钓鱼模板，该模板使用自定义web字体实现替换密码和其他技术，以呈现精心制作的钓鱼页面，用于向美国一家主流银行提交凭据。虽然替换密码本身很简单，但通过web字体文件实现的替代密码似乎很独特，这为钓鱼行为者提供了另一种隐藏跟踪和欺骗消费者的技术。

转载于:https://blog.51cto.com/13520190/2340166

[E5_9B_BE_E4_B8_80-1.png]: https://www.hackeye.net/wp-content/uploads/2019/01/%E5%9B%BE%E4%B8%80-1.png
[E5_9B_BE_E4_BA_8C.png]: https://www.hackeye.net/wp-content/uploads/2019/01/%E5%9B%BE%E4%BA%8C.png
[E5_9B_BE_E4_B8_89.png]: https://www.hackeye.net/wp-content/uploads/2019/01/%E5%9B%BE%E4%B8%89.png