最新钓鱼网站躲避检查技术——自定义字体

近期，网络上出现了一种新的钓鱼网页技术，通过自定义Web字体来向用户展现一个看起来是正常文本的实际上源码却都是无规律乱码的钓鱼网页，从而使伪造出来的钓鱼页面能躲避安全检查。

当浏览器展示钓鱼页面时，用户会看到一个正常的、虚假的登录页面，正如攻击者所预期的那样。

但是当你看到钓鱼网页源代码时，就会发现大量无意义乱码，这使得安全研究人员很难迅速弄清楚这个网页到底是做什么的。一般来说，由乱码转成正常文字通常是由ja vasc ript函数实现的。

相关CSS代码

使用加密字符替换原文从而躲避安全检测并不是一种新技术，将加密文本转为明文对于浏览器来说也不是一个很艰难的挑战。

但这次发现中有趣的地方在于并不是ja vasc ript函数来完成密文到明文的转换的，而是由登录页面的CSS代码完成的。

钓鱼攻击者使用了两种字体，“woff”和“woff2”，都通过ba se64编码来隐藏。

安全研究人员能够确定钓鱼网页有一个自定义的网页字体文件，正是它使浏览器可以将密文展现为明文。

Proofpoint恶意软件分析员在一篇博客文章中解释说：“由于Web开放字体格式（WOFF）中字体中的字母会按照一个定制的字母顺序表，将原本的字母替换为真正要使用的字母，因此正常的文本将显示在浏览器中，但不会出现在页面源码上。”

为了进一步混淆钓鱼网页源码，攻击者还会使用SVG（可缩放矢量图形）格式的图像，这种图像可以通过代码呈现在网页中，从而免去了远程加载图像的操作，有助于躲避安全检测。

从2018年年中开始在外网出现

这一最新的钓鱼网页技术是在一个网络钓鱼工具包中发现的，这个工具包里有创建时间为2018年6月初的大量钓鱼资源文件，但是恶意软件研究人员在一个月前才首次发现它。

考虑到各方面的因素，这个钓鱼框架可能已在公网利用了大半年。

Proofpoint的安全专家说，这个钓鱼工具包主要是针对美国各大零售银行，希望能窃取到这些银行用户的凭证。

研究人员还指出：“虽然网络上已经有很多网页源代码混淆技术，但这种使用网页自定义字体的技术似乎还是独一无二的。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/new-phishing-tactic-uses-custom-web-fonts-to-prevent-detection/