Фишинговые атаки, скрытые пользовательскими шрифтами
Исследователи компании Proofpoint обнаружили, что фишинговая афера по сбору учетных данных в области онлайн-банкинга, нацеленная на один крупный американский банк, уклоняется от обнаружения благодаря использованию пользовательских шрифтов.
Исследователи полагают, что это был первый раз, когда применялась подобная техника маскировки вредоносного кода, чтобы избежать обнаружения.
Качественно созданные фишинговые веб-страницы используют пользовательские файлы веб-шрифтов, известные как «файлы woff», для реализации шифра замещения, который делает исходный код фишинговых страниц безобидным с точки зрения систем защиты.
Когда фишинговая целевая страница отображается в браузере, пользователям предоставляется типичная фишинговая учетная запись онлайн-банкинга с использованием украденного банковского бренда, но с зашифрованным отображаемым текстом.
Исследователи отмечают, что функции подстановки в комплектах фишинга часто реализуются в JavaScript, добавляя, что в исходном коде страницы такие функции отсутствуют.
Вместо этого исследователи определили источник замены в коде CSS (каскадная таблица стилей) для целевой страницы.
Исследователи извлекли, преобразовали и просмотрели файлы веб-шрифтов woff и woff2, чтобы обнаружить, что целевая страница фишинга использовала эти пользовательские файлы веб-шрифтов, чтобы браузер отображал зашифрованный текст в виде открытого текста, а вредоносный код оставался скрытым.
Исследователи отметили, что ссылки на фактические логотипы и другие визуальные ресурсы также могут быть обнаружены под именем бренда, за который выдают себя злоумышленники, но в этой кампании похищенный бренд банка отображается с помощью масштабируемой векторной графики (SVG), поэтому логотип и его источник не появляются в исходном коде, чтобы избежать обнаружения.
Исследователи заявили, что такой набор для фишинга используется с мая 2018 года, но добавляют, что этот метод мог использоваться и раньше. Они также определили несколько адресов электронной почты, связанных с описываемым набором фишинга, как в исходном коде гипертекстового препроцессора (PHP), так и жестко закодированными в качестве получателей украденных учетных данных.
Исследователи предупреждают, что субъекты угроз продолжают внедрять новые методы, чтобы избежать обнаружения и скрывать свою деятельность от ничего не подозревающих жертв, поставщиков решений безопасности и даже от опытных организаций, активно занимающихся поиском злоупотреблений брендом.
«В этом случае злоумышленники разработали фишинговый шаблон, который использует собственный веб-шрифт для реализации шифра замещения, помимо других методов, для визуализации тщательно разработанных фишинговых страниц для кражи учетных данных крупного американского банка», - говорится в сообщении в блоге.
Несмотря на то, что сам алгоритм замещения прост, исследователи говорят, что реализация через файлы веб-шрифтов представляется уникальной, предоставляя субъектам фишинга еще одну технику, позволяющую скрыть свои следы и обмануть потребителей.