نماد سایت اتاق خبر شبکه گستر

مبهم‌سازی کد صفحه فیشینگ با استفاده از فونت‌های سفارشی

محققان از شناسایی حمله‌ای فیشینگ خبر داده‌اند که مهاجمان آن از تکنیکی کاملا جدید به‌منظور مبهم‌سازی کدهای خود بهره گرفته‌اند.

بر طبق گزارشی که شرکت پروف‌پوینت آن را منتشر کرده است این مهاجمان با ارسال ایمیل‌های در ظاهر معتبر، کاربران را متقاعد به کلیک بر روی لینک درج شده در درون ایمیل می‌کنند. لینک مذکور کاربر را به سمت صفحه‌ای اینترنتی هدایت می‌کند که ظاهری کاملا مشابه با سایت بانک‌های شناخته شده آمریکایی دارد. در صورت انجام عملیات اصالت‌سنجی توسط کاربر در این صفحه، عملا اطلاعات وارد شده در اختیار مهاجمان قرار می‌گیرد.

سناریویی که در اکثر حملات فیشینگ به چشم می‌خورد؛ اما آنچه که این حمله را با سایر این نوع حملات متمایز می‌کند تکنیکی است که مهاجمان پشت پرده آن به‌منظور مبهم‌سازی کد مورد استفاده قرار داده‌اند. مبهم‌سازی (Obfuscation) فرایندی است که در جریان آن تلاش می‌شود تا با اعمال تغییراتی، کد نه فقط برای کاربر که برای محصولات امنیتی و تحلیلگران بدافزار نیز غیرقابل خواندن و تفسیر باشد. در اکثر مواقع از اسکریپت‌های JavaScript و یا VBScript بدین‌منظور استفاده می‌شود. اما در این حمله، مهاجمان با ساخت فونتی کاملا سفارشی به این هدف دست یافته‌اند.

به گزارش شرکت مهندسی شبکه گستر، بررسی‌های انجام شده توسط محققان پروف‌پوینت نشان می‌دهد که مهاجمان با بهره‌گیری از فایل‌های موسوم به Web Open Font Format – به اختصار WOFF – که امکان ساخت فونت با قالبی کاملا آزاد را در صفحات تحت وب فراهم می‌کند نویسه‌های و…abcdefg را با ترتیبی دیگر از نویسه‌ها جایگزین کرده‌اند (تصویر زیر).

این مهاجمان در اقدامی دیگر، فایل تصاویر تجاری را در قالب Scalable Vector Graphics – به اختصار SVG – مورد استفاده قرار داده‌اند. فایل‌های SVG را می‌توان در کد نمایان‌سازی (Render) کرد و بنابراین نیازی به ذخیره آنها در مسیری که ممکن است که تشخیص مخرب بودن صفحه فراخوانی شده را برای محققان امنیتی تسهیل کند نمی‌باشد. برای مثال تصویر زیر مجموعه کدی را نمایش می‌دهد که خروجی آن نشان یکی از بانک‌هایی است که کاربرانش در حمله فیشینگ اخیر مورد هدف قرار گرفته‌اند.

با وجودی که جزییات روش جدید مبهم‌سازی روز پنجشنبه، 13 دی ماه به‌صورت عمومی منتشر شد اما به گفته پروف‌پوینت حداقل 7 ماه از نخستین باری که مهاجمان این تکنیک را به کار گرفته‌اند می‌گذرد.

این شرکت به کاربران توصیه کرده که بجای کلیک بر روی هر گونه لینک، خود مستقیما اقدام به ورود به سایت‌های بانکی کنند.

مشروح گزارش پروف‌پوینت در اینجا قابل دریافت و مطالعه است.

خروج از نسخه موبایل