Nueva tactica de phishing utiliza fuentes web personalizadas

Los actores de amenazas en el negocio de phishing han adoptado una nueva técnica para ofuscar el código fuente de la página falsificada mediante el uso de una fuente web personalizada para implementar un cifrado de sustitución que se parece a un texto plano.

Cuando los navegadores representan la página de phishing, lo que los usuarios ven es la página de inicio falsa creada para robar las credenciales de inicio de sesión, tal como pretendía su autor.

El código fuente, sin embargo, revela un texto codificado que hace que sea difícil entender qué hace. Esto normalmente se implementa a través de las funciones de JavaScript.

Código CSS para hacer el trabajo.

El uso de un cifrado de sustitución de caracteres para evitar la detección no es una nueva táctica, y revertir el texto a su forma original no es un desafío para los sistemas automatizados.

El factor de novedad aquí es que la fuente de la página no tenía funciones de JavaScript para llevar a cabo la sustitución, y esto se hizo desde el código CSS de la página de destino.

El actor de amenazas utilizó solo dos fuentes, 'woff' y 'woff2', ambas ocultas a través de la codificación base64.

Los investigadores pudieron determinar que la página de phishing tiene un archivo de fuente web personalizado que permite al navegador web representar el texto cifrado como texto simple.

"Como el Formato de fuente abierta en la Web (WOFF) espera que la fuente esté en un orden alfabético estándar, reemplazando las letras esperadas" abcdefghi ... "con las letras que se sustituirán, el texto deseado se mostrará en el navegador, pero no existe en la página ", explican los analistas de malware de Proofpoint en una publicación de blog.

Para ofuscar aún más el intento de phishing, el actor de amenazas utilizó imágenes de marca en formato SVG (gráficos vectoriales escalables), que se pueden representar a través del código, eliminando la necesidad de cargarlos desde una ubicación que almacena recursos de imágenes, lo que ayudaría con la detección.

Método utilizado en la naturaleza desde al menos mediados de 2018

El nuevo enfoque de evasión se ha visto en un kit de phishing con la mayoría de sus archivos de recursos con fecha de junio de 2018, pero los investigadores de malware lo observaron por primera vez un mes antes.

Dado el método de evasión utilizado, es posible que el marco malicioso se haya utilizado en la naturaleza incluso antes de este punto en el tiempo.

Los expertos de Proofpoint dicen que el kit malicioso se usó en un esquema de recolección de credenciales dirigido a un importante banco minorista en los EEUU

"Si bien el código fuente codificado y varios mecanismos de ofuscación han sido bien documentados en kits de phishing, esta técnica parece ser única por el momento en el uso de fuentes web para implementar la codificación", señalan los investigadores.


Fecha actualización el 2019-01-04. Fecha publicación el 2019-01-04. Categoria: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer
hackers