网络钓鱼使用假字体来解码内容并逃避检测

概观

Proofpoint研究人员最近观察到一个网络钓鱼工具，它在冒充大型银行收集凭据的过程中使用了一种特殊编码。虽然钓鱼工具中对源码进行编码以及各种混淆机制均已记录在案，但这种使用Web字体实现编码的技术确实是独一无二的。

在浏览器中呈现的网络钓鱼登陆页面，是一个典型的假冒大牌银行进行网上银行凭证网络钓鱼的页面。但是，页面的源代码包含不常见的编码文本（如下图所示），从网页复制明文并将其粘贴到文本文件中就能生成编码的文本。

网络钓鱼首页的代码片段，尽管已解码，但仍显示已编码的文本

可以通过简单的字符替换密码对文本进行解码，使得对于自动化系统的网络钓鱼登陆页面的检测变得简单。但是，在此情形之下实施替代值得进一步商榷。

网络钓鱼工具中的替换函数通常在JavaScript中实现，但页面源中不会出现此类函数。相反，我们在CSS代码中确定了登陆页的替换源（如下图所示）。

网络钓鱼登陆页面源代码的CSS

在审查了攻击者留下的许多假冒钓鱼工具之后，我们发现在../fonts/目录中没有工具的痕迹，使得base64编码的woff和woff2成为唯一加载的字体。

如果我们提取、转换和查看woff和woff2 web字体文件，我们会看到以下字体规范：

woff”字体规范*

然后，此网络钓鱼登陆使用自定义Web字体文件使浏览器将密文呈现为明文。由于Web开放字体格式（WOFF）期望字体按标准字母顺序排列，将预期字母“abcdefghi ...”替换为要替换的字母，预期文本将显示在浏览器中，但不会存在于页面上。

值得注意的是，被盗银行品牌是通过SVG呈现的，因此徽标及其来源不会出现在源代码中（如下图所示）。链接到的实际徽标和其他可视资源也可能被模仿的品牌检测到。

显示被盗银行徽标的SVG呈现的代码片段

我们首先在2018年观察到该工具的使用，但该工具很早之前已经有攻击者已经在使用。我们在该套件样本中观察到的资源文件的大多数存档日期都是2018年6月初。

结论

攻击者继续引入新技术来逃避检测并将其活动隐藏在毫无戒心的受害者，安全供应商甚至是精明的组织中，主动搜索品牌滥用。在文章案例中，攻击者开发了一个网络钓鱼模板，该模板使用自定义Web字体来实现替换密码，以及其他技术，以便为美国主要银行提供精心设计的网络钓鱼页面以获取凭据。虽然替换密码本身很简单，但通过Web字体文件实现似乎是独一无二的，这使得网络钓鱼攻击者可以采用另一种技术来隐藏他们的踪迹并欺骗消费者。

妥协指标（IOC）

我们确定了几个与网络钓鱼工具相关的电子邮件地址，这些地址都在PHP源代码中，并且硬编码为被盗凭证的收件人。这些地址包括：

· fatima133777@gmail[.]com

· fitgirlp0rtia@gmail[.]com

· hecklerkiller@yandex[.]com

· netty6040@aol[.]com

· nicholaklaus@yandex[.]com

· oryodavied@gmail[.]com

· realunix00@gmail[.]com

· slidigeek@gmail[.]com

· zerofautes@outlook[.]com