هکرها و نفوذ کنندگان در حملات فیشینگ به تازگی از تکنیک جدیدی برای فریب کدهای صفحات جعلی استفاده می کنند. در این تکنیک با استفاده از وب فونت (Web Font) کدهای خود جعلی خود را به گونه ای استفاده می کنند که مانند یک متن ساده به نظر می رسد. زمانی که مرورگر کدهای صفحات فیشینگ را برای کاربر ترجمه می کند، کاربر در مقابل صفحه ای را مشاهده می کند که برای دزدین اطلاعات آن طراحی و برنامه نویسی شده است.با این وجود ، این صفحات با استفاده از کدهای جاوا اسکریپت به گونه ای برنامه نویسی شده اند که تشخیص آن بسیار سخت میباشد.
با استفاده از جایگزینی کاراکتر رمزنگاری شده برای جلوگیری از تشخیص ، روش جدیدی نیست و بازگردانی متن ها به شکل اولیه کار سختی برای سیستم های خودکار نمی باشد. اما ابتکاری که در اینجا به کاربرده شده این است که از کدهای جاوا اسکریپت برای جایگزینی استفاده نشده است و به جای آن از کدهای ساده تر CSS در جایگزینی استفاده شده است. نفوذ گرها در این حملات با استفاده از دو فونت woff و woff2 که با روش base64 پنهان شده اند استفاده شده است.
محققان توانستند تشخیص دهند که صفحات فیشینگ دارای یک فونت وب است که مرورگر کدهای رمزنگاری شده را یک متن ساده تشخیص می دهد.
بر اساس گزارش محققان، انتظار می رود فونت وب WOFF باید خروجی استانداردی از حروف الفبا abcdef را برای استفاده در صفحات وب فراهم سازد و جایگزینی آن ها با حروف الفبا امکان پذیر باشد. همانطور که مشاهده می کنید در این حمله متنی که در این حمله استفاده شده است وجود ندارد اما در صفحه مرورگر نمایش داده می شود.
تحلیلگران در ادامه گزارش خود توضیح دادند که نفوذگران برای فریب دادن بیشتر در حملات فیشینگ، از تصاویری با فرمت SVG استفاده می کنند که آن ها را قادر می سازد با استفاده از کد کاراکترهای مورد نظر خود را برای کاربران در مرورگر نمایش دهند و در نتیجه کار برای تشخیص سخت تر می شود.
در هر حال ، این عملیات توسط نفوذگرها از اوایل سال 2018 با استفاده از ابزارهای اتوماتیکی که به طور مخصوص برای حملات Phishing مورد استفاده قرار گرفته است و محققان در ابتدا توانستند این کدهای مخرب را یک ماه پیش مشاهده کنند.
منبع bleepingcomputer