Inicio / Actualidad / Nueva táctica de phishing utiliza fuentes web personalizadas para evitar la detección

Nueva táctica de phishing utiliza fuentes web personalizadas para evitar la detección

Los actores de amenazas en el negocio de phishing han adoptado una nueva técnica para ofuscar el código fuente de la página falsificada mediante el uso de una fuente web personalizada para implementar un cifrado de sustitución que se parece a un texto plano.

Cuando los navegadores representan la página de phishing, lo que los usuarios ven es la página de inicio falsa creada para robar las credenciales de inicio de sesión, tal como pretendía su autor.

El código fuente, sin embargo, revela un texto codificado que hace que sea difícil entender qué hace. Esto normalmente se implementa a través de las funciones de JavaScript.

Código CSS para hacer el trabajo.

El uso de un cifrado de sustitución de caracteres para evitar la detección no es una nueva táctica, y revertir el texto a su forma original no es un desafío para los sistemas automatizados.

El factor de novedad aquí es que la fuente de la página no tenía funciones de JavaScript para llevar a cabo la sustitución, y esto se hizo desde el código CSS de la página de destino.

El actor de amenazas utilizó solo dos fuentes, ‘woff’ y ‘woff2’, ambas ocultas a través de la codificación base64.

especificación de la fuente woff

Los investigadores pudieron determinar que la página de phishing tiene un archivo de fuente web personalizado que permite al navegador web representar el texto cifrado como texto simple.

“Como el Formato de fuente abierta en la Web (WOFF) espera que la fuente esté en un orden alfabético estándar, reemplazando las letras esperadas” abcdefghi … “con las letras que se sustituirán, el texto deseado se mostrará en el navegador, pero no existe en la página “, explican los analistas de malware de Proofpoint en una publicación de blog .

 

 

El ataque de phishing pretende ser un correo electrónico de no entrega de Office 365

 

 

Para ofuscar el intento de phishing, el actor de amenazas usó imágenes de marca en formato SVG (gráficos vectoriales escalables), que se pueden representar a través del código, eliminando la necesidad de cargarlos desde una ubicación que almacena recursos de imágenes, lo que ayudaría con la detección.

código para imágenes SVG

Método utilizado en la naturaleza desde al menos mediados de 2018

El nuevo enfoque de evasión se ha visto en un kit de phishing con la mayoría de sus archivos de recursos con fecha de junio de 2018, pero los investigadores de malware lo observaron por primera vez un mes antes.

Dado el método de evasión utilizado, es posible que el marco malicioso se haya utilizado en la naturaleza incluso antes de este punto en el tiempo.

“Si bien el código fuente codificado y varios mecanismos de ofuscación han sido bien documentados en kits de phishing, esta técnica parece ser única por el momento en el uso de fuentes web para implementar la codificación”, señalan los investigadores.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

El ex empleado de Microsoft se une a Apple para ayudar a Cupertino a ponerse al día con Google

Apple está presionando más en varios frentes para renovar su estrategia de hogar inteligente, y …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.