[RU]

[EN]
Alphazine - Only Successful People.
ГАРАНТ ПОПОЛНИТЬ ДЕПОЗИТ

Вернуться   Alphazine - Only Successful People. > Форум > Новости.

Важная информация

[Определение часового пояса]
[ Регистрация ]
Имя:
Отделение людей от роботов


 
Опции темы
Фишеры вооружились редкими методами обфускации и Telegram-каналами
Старый   #1
Info
[Info Bot]
 
Регистрация: 21.05.2020
Сообщений: 1,316
Спасибо: 2 раз(а)
Репутация:   0  
Депозит: 0 ?
Business Level: 26 ?
Отправить личное сообщение для Info Telegram Jabber Tox PGP GPG Key
Фишеры вооружились редкими методами обфускации и Telegram-каналами

Эксперты зафиксировали фишинговые атаки с использованием непривычных техник.

Специалисты FireEye Email Security зафиксировали волну фишинговых атак на пользователей в Европе, Северной и Южной Америке, в ходе которых злоумышленники используют обфускацию вредоносного кода с помощью шифра подстановки на базе WOFF и Telegram-каналы для связи.

Атака начинается с получения жертвой электронного письма, замаскированного под уведомление от службы экспресс-доставки DHL. В письме содержится ссылка на поддельный сайт DHL с фишинговой формой, куда жертва должна ввести данные своей банковской карты, которые затем отправляются прямиком киберпреступникам.

По словам экспертов, в данной кампании злоумышленники используют весьма редкий метод обфускации исходного кода страницы. Исходный код страницы содержит надлежащие строки и действительные теги и отформатирован должным образом. Однако в нем также содержится текст, закодированный с помощью шифра подстановки и напоминающий бессмысленный набор символов.

Как правило, скрипт для дешифровки таких текстов встраивается в сам код страницы, однако в данном случае он отсутствует. Декодирование текста осуществляется с помощью файла шрифтов Web Open Font Format (WOFF) во время загрузки страницы, и процесс расшифровки не виден жертве. Загрузка декодирующего текст кастомизированного шрифта выполняется внутри каскадных таблиц стилей (CSS). Этот метод встречается редко, так как для шифрования и дешифрования HTML- текстов обычно используется JavaScript.

Стоящие за фишинговой кампанией злоумышленники охотятся за учетными данными пользователей, данными их кредитных карт и другой конфиденциальной информацией. Похищенные с помощью поддельных форм сведения отправляются на подконтрольные им адреса электронной почты и Telegram-каналы. В частности, исследователи обнаружили Telegram-канал, на которой данные отправляются с помощью Telegram Bot API.


Source: fireeye.com/blog/threat-research/2021/01/phishing-campaign-woff-obfuscation-telegram-communications.html
  Ответить с цитированием
Опции темы
Опции просмотра