手机赚钱

手机赚钱软件

手机赚钱app

hi,你好!欢迎访问本站!登录
当前位置:首页 - 知识干货 - 正文 半世浮生梦,一朝顿悟明!

首例使用假字体来逃避安全检测的网络钓鱼活动

2019-01-16知识干货草结°c
A+ A-

首例使用假字体来逃避安全检测的网络钓鱼活动

Proofpoint研究人员最近观察到一种网络钓鱼工具包,其特殊编码用于冒充主要零售银行的凭证获取计划。虽然编码源代码和各种混淆机制已在钓鱼工具包中得到充分记录 ,但这种技术在使用Web字体实现编码方面似乎是独一无二的 。

当钓鱼登录页面在浏览器中呈现时,用户将看到一个典型的利用窃取的银行品牌的网上银行证书钓鱼。然而,页面的源代码包含了意外编码的显示文本(图1)。

首例使用假字体来逃避安全检测的网络钓鱼活动

从网页复制明文并粘贴到文本文件中仍然会产生编码文本 。文本可以通过一个简单的字符替换密码进行解码 ,使自动系统检测钓鱼登录页变得简单。然而,在这种情况下,替换的实现情况值得进一步审查。

钓鱼工具包中的替换函数通常是用JavaScript实现的 ,但在页面源代码中没有出现这种函数 。相反 ,研究人员在登录页面的CSS代码中标识了替换的来源(图2) 。

首例使用假字体来逃避安全检测的网络钓鱼活动

在审查了许多威胁行动者留下的钓鱼工具副本后,研究者知/fonts/目录在工具包中不存在,因此base64编码的woff和woff2是唯一加载的字体。如果我们提取 、转换和查看woff和woff2 web字体文件 ,我们将看到以下字体规范:(图3)

首例使用假字体来逃避安全检测的网络钓鱼活动

这种钓鱼登陆然后利用自定义web字体文件,使浏览器呈现密文为明文。由于Web开放字体格式(WOFF)期望字体按标准字母顺序排列,将预期字母“abcdefghi ...”替换为要替换的字母 ,预期文本将显示在浏览器中,但不会存在于页面上 。

同样值得注意的是,被盗的银行品牌是通过SVG(可伸缩向量图形)呈现的 ,因此logo及其来源不会出现在源代码中。

研究人员在2018年5月首次观察到这种工具包的使用,但它很有可能更早出现在野外。他们在该工具包样本中观察到的资源文件的存档日期大多为2018年6月初 。

威胁行动者持续引入新技术,以逃避检测 ,并向毫无戒心的受害者、安全供应商、甚至精明的组织进行品牌滥用,隐藏他们的活动。在本文中,他们开发了一个钓鱼模板 ,该模板使用自定义web字体实现替换密码和其他技术 ,以呈现精心制作的钓鱼页面,用于向美国一家主流银行提交凭据。虽然替换密码本身很简单,但通过web字体文件实现的替代密码似乎很独特 ,这为钓鱼行为者提供了另一种隐藏跟踪和欺骗消费者的技术 。



  • 关注草赚吧公众号
  • 首例使用假字体来逃避安全检测的网络钓鱼活动

      选择打赏方式
    微信赞助

    打赏

    QQ钱包

    打赏

    支付宝赞助

    打赏

      选择分享方式
      移步手机端
    首例使用假字体来逃避安全检测的网络钓鱼活动

    1、打开你手机的二维码扫描APP
    2、扫描左则的二维码
    3、点击扫描获得的网址
    4、可以在手机端阅读此文章
    推荐阅读

    发表评论

    选填

    必填

    必填

    选填

    请拖动滑块解锁
    >>


    鱼果
    1楼  鱼果 @Ta
    时间:2019-01-16 16:36:09

    学习了,感谢分享!

    幻城逆少
    时间:2019-01-16 16:35:46

    学习了,感谢分享!