SOS :: Security Operation Space
22 марта, пятница, 00:00
|
Hot News:

Фишеры используют фальшивый шрифт для обхода ИБ-фильтров

08 января 2019 г., вторник, 14:02

Шаблон вредоносной страницы показывает разное содержимое жертве и сканерам системы безопасности.

Необычный способ маскировки фишинговой страницы обнаружили специалисты компании Proofpoint. Как выяснили эксперты, злоумышленники используют комплект фальшивых шрифтов, чтобы выводить текст на экран пользователя. При этом системы безопасности, анализирующие код открытого сайта, увидят лишь бессмысленный набор символов. Криминальная гарнитура, используемая злоумышленниками, впервые попала на радары ИБ-аналитиков в мае 2018 года, однако исследователи не исключают ее применения в более ранних атаках.

Шаблон фишинговой страницы имитирует сайт одного из американских банков и предназначен для кражи учетных данных. Изучив его код, исследователи обнаружили зашифрованный текст, который корректно отображался в браузере, но не мог быть прочитан и проанализирован системами безопасности. Как выяснили специалисты, киберпреступники использовали простую подстановку символов, когда вместо одной буквы на экране отображается другая. Обычно правила такого кодирования реализуются через отдельный скрипт, однако в этот раз злоумышленники применили другую технику.

Вредоносная страница использовала измененные веб-шрифты в форматах .woff и .woff2 для вывода информации на экран. Вместо обычной последовательности символов они содержали оригинальный ряд букв для подстановки. Таким образом, бессмысленный набор знаков в коде шаблона превращался в читаемый текст в браузере.

В качестве логотипа банка злоумышленники использовали векторное изображение в формате .svg. В отличие от растровых картинок, такая иллюстрация не поддается сравнению с образцами и дальнейшей идентификации системами безопасности. При помощи этих уловок киберпреступники надеялись обмануть антивирусные программы и службы защиты от фишинга, разработанные создателями браузеров и почтовых серверов.

Мошенники, стоящие за поддельными сайтами и спам-рассылками, зачастую используют манипуляции со шрифтами для обхода систем идентификации вредоносного контента. В марте 2018 года стало известно о кампании ZeroFont, в рамках которой киберпреступники разделяли ключевые слова в HTML-коде вредоносного письма тегом с нулевым шрифтом. Незаметная для жертвы, эта техника снижала вероятность срабатывания фильтров безопасности.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:31
16:24
16:15
14:19
13:15
13:15
11:15
09:15
08:15
08:15
08:15
07:15
06:15
05:22
15:26
15:17
15:15
15:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.227
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.