Juniper威脅實驗室最新報告指出,一種新型的JavaScript混淆技術正被用於釣魚攻擊中。這種技術利用不可見的Unicode字元來表示二進位數值,使惡意程式碼難以被發現。
精密的攻擊手法
根據Juniper的調查,這波攻擊發生於2025年1月初,展現出多項複雜的攻擊特徵。攻擊者使用了受害者的非公開個人資訊來進行精準目標式攻擊,同時部署了偵錯中斷點和計時檢查來規避偵測。此外,攻擊者還透過遞迴包裝的Postmark追蹤連結來隱藏最終的釣魚目的地。
值得注意的是,這種混淆技術最初是由JavaScript開發者Martin Kleppe於2024年10月公開,而短短數月內就被攻擊者採用,凸顯了新研究成果被武器化的速度之快。
創新的隱藏技術
這種新型混淆技術主要利用兩種不可見的Unicode字元:韓文半形(U+FFA0)和韓文全形(U+3164)。攻擊過程中,JavaScript程式碼中的每個ASCII字元都會被轉換為8位元的二進位表示,其中的1和0則被替換為不可見的韓文字元。
混淆後的程式碼被儲存為JavaScript物件的屬性。由於韓文填充字元在顯示時是空白的,因此整個惡意程式碼在腳本中看起來就像是空白。攻擊者還使用了額外的隱藏手段,包括對腳本進行base64編碼,並使用反偵錯檢查來規避分析。
難以偵測的威脅
根據Juniper分析師的研究,這類攻擊特別難以被現有的安全機制偵測。由於攻擊使用空白字元,降低了安全掃描器將其標記為惡意的可能性。更具挑戰性的是,這些惡意程式碼被巧妙地嵌入JavaScript物件的屬性中,使其能夠輕易地注入合法腳本而不引起懷疑。加上整個編碼過程的實作相對簡單,不需要特別深奧的技術知識,這使得該技術極具擴散風險。
研究人員在調查中發現,此次攻擊使用的兩個域名與先前的Tycoon 2FA釣魚工具包有關,這個發現特別令人擔憂。考慮到這種混淆技術的實作門檻較低,安全專家預計未來將會有更多攻擊者採用這種「隱形」混淆方法來進行網路攻擊。
資安專家建議組織採取以下防護措施:
- 加強對JavaScript程式碼的安全掃描,特別注意看似空白的程式碼區段
- 實施進階的網頁內容過濾機制
- 強化員工對釣魚攻擊的警覺性,特別是涉及個人資訊的通訊
- 定期更新安全工具,確保能夠偵測最新的混淆技術
延伸閱讀:中國駭客組織濫用微軟APP-V工具規避防毒軟體偵測
本文轉載自bleepingcomputer。