网络钓鱼模板套用假字体来进行解码内容并避过检测 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

网络钓鱼模板套用假字体来进行解码内容并避过检测

Sunbet_安全预警 申博 335次浏览 已收录 0个评论

概述

在浏览器中显现的网络垂纶上岸页面,是一个典范的冒充大牌银行举行网上银行凭据网络垂纶的页面。然则,页面的源代码包罗不常见的编码的可见文本(图1)

网络钓鱼模板套用假字体来进行解码内容并避过检测

图1:网络垂纶上岸页的代码片断

Proofpoint研究人员近来观察到一个网络垂纶工具包,它在假装大型银行网络凭据的历程中运用了一种特别编码。虽然垂纶工具包中对源码举行编码和种种殽杂机制均已记录在案,但这类运用Web字体完成编码的手艺确实是无独有偶的。

从网页复制明文并将其粘贴到文本文件中就能够天生编码的文本。

能够经由过程简朴的字符替换暗码对文本举行解码,使得关于自动化体系的网络垂纶上岸页面的检测变得简朴。然则,在此情况之下实行替换值得进一步商议。

网络垂纶工具包中的替换函数通常在JavaScript中完成,但页面源中不会涌现此类函数。相反,我们在CSS代码中一定了上岸页的替换源(图2)。

网络钓鱼模板套用假字体来进行解码内容并避过检测

图2:来自网络垂纶上岸页面源代码的CSS @ font-face划定规矩

在检察了要挟行动者留下的很多仿冒垂纶工具包以后,我们晓得在../fonts/目次中没有工具包,使得base64编码的woff和woff2成为独一加载的字体。

若是我们提取、转换和检察woff和woff2 web字体文件,我们会看到以下字体范例:

网络钓鱼模板套用假字体来进行解码内容并避过检测

图3:“woff”字体范例

然后,此网络垂纶上岸页面运用自定义Web字体文件使浏览器将密文显现为明文。因为Web开放字体花样(WOFF)希冀字体按规范字母顺序排列,将预期字母“abcdefghi …”替换为要替换的字母,预期文本将显现在浏览器中,但不会存在于页面上。

还值得注意的是,被盗用的银行品牌是经由过程SVG(可缩放矢量图形)显现的,因而徽标及其泉源不会涌现在源代码中(图4)。现实徽标和其他可视资本的链接也能够被模拟的品牌检测到。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

网络钓鱼模板套用假字体来进行解码内容并避过检测

图4:显现被盗银行徽标的SVG的代码片断

我们首先在2018年5月观察到该工具包的运用,但该工具包一定更早涌现在野外。我们在此工具包样本中观察到的资本文件的大多数存档日期都是2018年6月初。

总结

要挟行动者继承引入新手艺来回避检测,并将运动隐蔽在毫无戒心的受害者,平安供应商,以至夺目的机构中。在本案例中,攻击者开发了一个网络垂纶模板,该模板运用自定义Web字体来完成替换暗码,供应精心设计的美国重要银行的网络垂纶页面来猎取凭据。虽然替换暗码自身很简朴,然则经由过程Web字体文件的完成看起来是无独有偶的,这使得网络垂纶行动者具有了另一种隐蔽其踪影和诳骗消费者的手艺。

IOCs

我们一定了几个与网络垂纶工具包相关联的电子邮件地点,这些地点都在PHP源代码中,而且硬编码为被盗凭据的收件人。这些地点包孕:

· [email protected][.]com

· [email protected][.]com

· h[email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明网络钓鱼模板套用假字体来进行解码内容并避过检测
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址