Proofpoint研究人員最近觀察到一種網絡釣魚工具,其特殊編碼用於冒充主要銀行,並進行銀行賬號盜取。雖然網頁源碼編碼和各種混淆機制已在網絡釣魚中廣泛應用,但使用Web字體實現編碼並進行網絡釣魚還不太常見。
當網絡釣魚頁面在瀏覽器中打開時,呈現在用戶眼前的是冒充被盜銀行網頁的釣魚頁面。但是,頁面的源代碼中包含了惡意編碼的明文文本(圖1)
圖1:來自網絡釣魚頁面的代碼片段,儘管已解碼渲染,但仍顯示已編碼的文本
從網頁複製明文並將其粘貼到文本文件中仍會是編碼文本。
可以通過簡單的字符替換密碼對文本進行解碼,這樣使得自動化系統對網絡釣魚頁面的檢測變得簡單。但是,在這個案例中,該方法失效了。
網絡釣魚中的替換功能通常在JavaScript中實現,但頁面源中不會出現此類功能。相反,我們在CSS代碼中發現了釣魚網頁的替換源(圖2)
圖2:來自網絡釣魚頁面源代碼的CSS @ font-face規則
在檢查了從受害人那裡獲取到的釣魚文件後,我們知道../fonts/目錄並不在釣魚文件中,使得我們相信base64編碼的woff和woff2是唯一會被加載的字體。
如果我們提取,轉換和查看woff和woff2 web字體文件後,我們會看到以下字體規範:
圖3:“woff”字體規範
然後,此網絡釣魚工具使用自定義Web字體文件使瀏覽器將密文呈現為明文。由於WOFF(Web Open Font Format)期望字體按標準字母順序排列,將預期字母“abcdefghi ...”替換為要替換的字母,預期文本將顯示在瀏覽器中,但不會存在於頁面上。
還值得注意的是,被盜銀行logo是通過SVG(可縮放矢量圖形)呈現的,因此logo及其來源不會出現在源代碼中(圖4)。實際logo和其他可視資源的鏈接也可能被釣魚的銀行檢測到。
圖4:顯示被盜銀行logo的SVG呈現的代碼片段
我們首先在2018年5月觀察到該網絡釣魚工具的使用,但該網絡釣魚可能出現的更早。我們在樣本中觀察到的資源文件的大多數存檔日期都是2018年6月初的日期。
結論
網絡釣魚者將繼續引入新技術來逃避檢測,並將他們的活動隱藏在毫無戒心的受害者,安全供應商,甚至精明的組織中。在這種情況下,黑客開發了一個網絡釣魚模板,該模板使用自定義Web字體來實現替換密文,以便為美國主要銀行提供精心設計的網絡釣魚頁面以獲取登錄信息。雖然替換密文本身很簡單,但是通過Web字體文件的實現看起來是獨一無二的,這使得該種釣魚方式成為另一種隱藏其蹤跡和欺騙消費者的技術。
閱讀更多 科技資訊速遞員 的文章
關鍵字: 黑客 JavaScript 釣魚
