O nouă metodă de obfuscare JavaScript care utilizează caractere Unicode invizibile pentru a reprezenta valori binare este activ utilizată în atacuri de phishing care vizează afiliații unui comitet de acțiune politică american (PAC).
Juniper Threat Labs, care a descoperit atacul, raportează că acesta a avut loc la începutul lunii ianuarie 2025 și prezintă semne de sofisticare, cum ar fi utilizarea:
Dezvoltatorul JavaScript Martin Kleppe a dezvăluit pentru prima dată tehnica de obfuscare în octombrie 2024, iar adoptarea rapidă în atacuri reale evidențiază cât de repede devine noua cercetare un instrument de război.
Noua tehnică de obfuscare exploatează caracterele Unicode invizibile, în special jumătatea de lățime Hangul (U+FFA0) și lățimea întreagă Hangul (U+3164).
Fiecare caracter ASCII din payload-ul JavaScript este convertit într-o reprezentare binară de 8 biți, iar valorile binare (uni și zero) sunt înlocuite cu caractere Hangul invizibile.
Codul obfuscat este stocat ca o proprietate într-un obiect JavaScript, iar deoarece caracterele de umplere Hangul sunt afișate ca spațiu gol, payload-ul din script pare gol, așa cum este arătat de spațiul gol de la sfârșitul imaginii de mai jos.
Un script bootstrap scurt recuperează payload-ul ascuns folosind o capcană ‘get()’ a unui Proxy JavaScript. Când proprietatea ascunsă este accesată, Proxy convertește înapoi caracterele de umplere Hangul invizibile în binar și reconstruiește codul JavaScript original.
Analiștii Juniper raportează că atacatorii folosesc pași suplimentari de mascare în plus față de cei de mai sus, cum ar fi codificarea scriptului cu base64 și utilizarea verificărilor anti-depanare pentru a evita analiza.
„Atacurile au fost foarte personalizate, incluzând informații nepublice, iar JavaScript-ul inițial ar încerca să invoce un punct de oprire al depanatorului dacă ar fi fost analizat, detecta o întârziere și apoi abandona atacul redirecționând către un site benign”, explică Juniper.
Atacurile sunt greu de detectat deoarece spațiile albe goale reduc probabilitatea ca chiar și scanerele de securitate să-l semnaleze ca fiind rău intenționat.
Deoarece payload-ul este doar o proprietate într-un obiect, ar putea fi injectat în scripturi legitime fără a ridica suspiciuni; în plus, întregul proces de codificare este ușor de implementat și nu necesită cunoștințe avansate.
Juniper spune că două dintre domeniile folosite în această campanie au fost anterior legate de kit-ul de phishing Tycoon 2FA.
Dacă este așa, vom vedea probabil această metodă de obfuscare invizibilă adoptată de o gamă mai largă de atacatori în viitor.
Campaniile de phishing rusești exploatează funcția de legătură a dispozitivelor Signal
Hackerii chinezi abuzează de instrumentul Microsoft APP-v pentru a evita antivirusul
Noul malware FinalDraft abuzează serviciul de corespondență Outlook pentru comunicații discrete
Microsoft: Hackerii fură emailuri în atacuri de phishing cu cod de dispozitiv
Brave permite acum injectarea de JavaScript personalizat pentru ajustarea site-urilor web
Leave a Reply