Das Phishing-Toolkit verwendet eine benutzerdefinierte Schriftart und eine Ersatzverschlüsselung, um der Erkennung zu entgehen

Wie ausgefeiltes Phishing Angreifern die vollständige Kontrolle über Ihren Computer ermöglicht Phishing dreht sich alles um den Bösen und das Täuschen des Opfers, sagt Kevin Mitnick, Gründer von Mitnick Security Consulting. Mitnick kennt sich mit bösen Jungs aus - er war einer.

Seit Jahren verlassen sich Cyberkriminelle auf kreative Verschleierungstechniken, um es Sicherheitssoftware zu erschweren, Phishing-Angriffe zu erkennen. In der Regel basieren diese auf der Verschleierung des Quellcodes mithilfe der AES-256- oder Base64-Codierung in JavaScript oder benutzerdefinierten Codierungsstrategien, was die Analyse des zugrunde liegenden Quellcodes erschwert. Am Donnerstag haben Forscher von Proofpoint ein Phishing-Toolkit veröffentlicht, das die neuartige Strategie der Codierung von Daten mithilfe einer Substitutions-Chiffre verwendet, deren Dekodierung auf einer benutzerdefinierten Schriftart beruht.

Substitutions-Chiffren sind für den Menschen unkompliziert zu verstehen, und damit ein Phishing-Angriff erfolgreich ist, müssen die dekodierten Daten einem potenziellen Opfer angezeigt werden. Bei diesem Angriff verwenden Cyberkriminelle eine angepasste Version der Arial-Schriftart mit einzelnen transponierten Buchstaben. Wenn die Seite geladen wird, sieht der Inhalt normal aus. Wenn ein Benutzer oder ein Programm versucht, die Quelle zu lesen, wird der Text auf der Seite durcheinander gebracht.

Berücksichtigen Sie zur Veranschaulichung der Art des Exploits das Standardlayout des englischen Alphabets (oben) mit dem im Angriff verwendeten Substitutions-Chiffrelayout (unten):

 ABCDEFGHIJKLMNOPQRSTUVWXYZ MBCDTFGHRJXLANVUWIZEPOQKYS 

Mit auf diese Weise codiertem Text konnten häufig verwendete Zeichenfolgen bei Phishing-Angriffen nicht programmgesteuert erkannt werden, es sei denn, Sicherheitssoftware wurde entwickelt, um Substitutions-Chiffren zu lösen. Rechnerisch ist dies nicht komplex - der einheitliche Abstand der Substitutions-Chiffren in Englisch beträgt 28 Zeichen, und Textzeichenfolgen, die bei Phishing-Angriffen verwendet werden, bieten weitaus mehr als das, was den Prozess vereinfacht.

Dieser spezifische Angriff wurde erstmals im Mai 2018 beobachtet, wie Proofpoint feststellte, und wurde verwendet, um Phishing-Seiten für eine "große US-Bank" zu erstellen. Dabei wurde festgestellt, dass die Implementierung der Substitutionsverschlüsselung "über Web-Font-Dateien eindeutig zu sein scheint".

Darüber hinaus ist die Schriftart selbst in die Seite eingebettet und als Base-64-Blob eingebettet, anstatt aus einer externen Datei geladen zu werden. Proofpoint stellte außerdem fest, dass die Logos der Bank mithilfe von SVG inline gerendert wurden, wobei die Geometrien in die Seite selbst eingebettet waren und nicht als externes Bild.

Die EP- und ETPRO-Sicherheitslösungen von Proofpoint können Angriffe mit diesem Toolkit erkennen. Für IT-Experten und Endbenutzer sind die besten Schritte zur Abwehr dieses Angriffs mit allen anderen identisch. Das Vermeiden des Öffnens von Links in verdächtigen E-Mails und das Sicherstellen, dass die URL der Seiten der beabsichtigten Website entspricht, sind gute erste Schritte.

Die großen Imbissbuden für Technologieführer:

  • Bei einem neu offenbarten Phishing-Angriff werden eine Substitutionsverschlüsselung und eine benutzerdefinierte Schriftart verwendet, um der programmatischen Erkennung zu entgehen.
  • Der Angriff wurde im Mai 2018 entdeckt und scheint das erste Mal zu sein, dass bei einem Phishing-Angriff eine Substitutions-Chiffre verwendet wurde.

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | pepebotifarra.com