通过自定义字体隐藏的网络钓鱼攻击

针对美国主要银行的网上银行网络钓鱼骗局通过使用自定义字体来删除检测，校对点网络安全研究人员已经发现。

研究人员认为这是第一次伪造恶意代码来逃避检测的技术。

精心制作的网络钓鱼网页使用称为“Woff文件”的自定义Web字体文件来实现替换Cypher，使得源代码的网络钓鱼页面出现良性。

当网络钓鱼着陆页面呈现在浏览器中，用户使用被盗的银行品牌呈现典型的网上银行凭据Phish，但包括编码显示文本。

研究人员表示，在JavaScript中常常在javascript中实现网络钓鱼试剂盒中的替换功能，添加了页面源中没有出现此类功能。

相反，研究人员确定了登陆页面的CSS [级联样式表]代码中的替换源。

研究人员提取了，转换和查看了Wofd和Woff2 Web字体文件，以发现网络钓鱼着陆页面使用这些自定义Web字体文件来使浏览器将密文呈现为明文，而恶意代码仍然隐藏。

研究人员指出，与实际徽标和其他视觉资源相连也可能被品牌模仿，但在这个广告系列中，通过可缩放的矢量图形（SVG）呈现了被盗的银行品牌，因此徽标及其来源不会呈现出现在源代码中以逃避检测。

研究人员表示，自2018年5月以来，网络钓鱼试剂盒已在使用中，但补充说该技术可能先前使用。他们还确定了与网络钓鱼套件相关联的多个电子邮件地址，无论是在超文本Propossessor（PHP）源代码中，也是被盗凭据的收件人的硬编码。

研究人员警告，威胁演员继续引入逃避检测和隐藏他们的活动的新技术，从毫无戒心的受害者，安全供应商甚至从主动寻找品牌滥用的救策组织。

“在这种情况下，演员开发了一个网络钓鱼模板，它使用自定义Web字体实现替代Cypher，以及其他技术，将凭证凭证的良好的网络钓鱼页面呈现给一个主要的美国银行，”他们在博客帖子中说。

虽然替代Cyper本身很简单，但研究人员表示，通过Web字体文件的实现似乎是唯一的，给出网络钓鱼演员又是一种隐藏他们的曲目和欺诈消费者的另一种技术。