Nettfiskverktøysett bruker tilpasset font og substitusjonssiffer for å unngå deteksjon

Hvor sofistikert phishing gir angripere total kontroll over datamaskinen din. Phishing handler om den dårlige fyren og lure offeret, sier Kevin Mitnick, grunnlegger av Mitnick Security Consulting. Mitnick vet om skurkene - han pleide å være en.

I årevis har nettkriminelle vært avhengige av kreative tilsløringsteknikker for å gjøre det vanskeligere for sikkerhetsprogramvare å oppdage phishing-angrep. Disse er avhengig av å tilsløre kildekoden ved å bruke AES-256 eller Base64-koding i JavaScript, eller tilpassede kodingsstrategier, noe som gjør det vanskelig å analysere den underliggende kildekoden. Torsdag avslørte forskere ved Proofpoint et phishing-verktøy som bruker den nye strategien for å kode data ved å bruke en substitusjonssiffer som er avhengig av en tilpasset font for å dekode.

Substitusjonssifere er enkle for mennesker å forstå, og for at et phishing-angrep skal være vellykket, må de dekodede dataene vises til et potensielt offer. I dette angrepet bruker nettkriminelle en tilpasset versjon av Arial-skriften med individuelle bokstaver transponert. Når siden er lastet, ser innholdet normalt ut. Men når en bruker eller et program prøver å lese kilden, vises teksten på siden virvlet.

For å visualisere utnyttelsens art, bør du vurdere standardoppsettet til det engelske alfabetet (over), med erstatningskrypteringslayouten som ble brukt i angrepet (nedenfor):

 ABCDEFGHIJKLMNOPQRSTUVWXYZ MBCDTFGHRJXLANVUWIZEPOQKYS 

Med tekst som er kodet på denne måten, kunne ikke vanlige strenger som brukes i phishing-angrep, programmatisk oppdages med mindre sikkerhetsprogramvare er designet for å løse substitusjonssifere. Beregningsmessig er dette ikke komplekst - enhetens avstand til substitusjonssiffer på engelsk er 28 tegn, og tekststrenger brukt i phishing-angrep ville nødvendigvis gi mye mer enn det, noe som gjør prosessen enklere.

Dette spesifikke angrepet ble første gang observert i mai 2018, fant Proofpoint, og ble brukt til å lage phishing-sider for en "stor amerikansk bank", og bemerket at implementeringen av substitusjonssifferenheten "via fontfiler ser ut til å være unik."

I tillegg er selve skrifttypen innebygd på siden, innebygd som en base-64 klods, i stedet for lastet fra en ekstern fil. Proofpoint bemerket også at logoene til banken ble gjengitt på linje ved bruk av SVG, med geometrier innebygd i selve siden, i stedet for som et eksternt bilde.

Proofpoints EP og ETPRO sikkerhetsløsninger er i stand til å oppdage angrep ved hjelp av denne verktøysettet. For IT-fagpersoner og sluttbrukere er de beste trinnene mot avbøtning av dette angrepet identiske med alle andre - å unngå å åpne lenker i mistenkelige e-poster og sikre at nettadressen til sider er av det tiltenkte nettstedet er gode første skritt.

De store takeawayene for teknologiledere:

  • Et nylig avslørt phishing-angrep bruker en substitusjonssiffer og en tilpasset font for å unngå programmatisk deteksjon.
  • Angrepet ble oppdaget i mai 2018, og ser ut til å være første gang en substitusjonssiffer ble brukt i et phishing-angrep.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com