Aktor ancaman dalam hal phishing telah mengadopsi taktik phising baru untuk obfuscate source-code halaman palsu dengan menggunakan font web khusus yang bertujuan mengimplementasikan cipher substitusi menjadi terlihat seperti plaintext. Saat browser merender halaman phishing, yang dilihat pengguna adalah halaman palsu yang dibuat untuk mencuri kredensial login.
Namun, source-code mengungkapkan teks yang disandikan, yang membuat sulit untuk mengetahui apa yang dilakukannya. Ini biasanya diterapkan melalui fungsi JavaScript.
Kode CSS untuk melakukan hal ini
Menggunakan cipher substitusi karakter untuk menghindari deteksi bukanlah taktik baru, dan membalikkan teks ke bentuk aslinya bukanlah tantangan untuk sistem otomatis.
Faktor kebaruan di sini adalah bahwa sumber halaman tidak memiliki fungsi JavaScript untuk melakukan substitusi, dan ini dilakukan dari kode CSS untuk halaman.
Aktor ancaman hanya menggunakan dua font, ‘woff’ dan ‘woff2,’ keduanya disembunyikan melalui pengkodean base64.
Para peneliti dapat menentukan bahwa halaman phishing memiliki file font web kustom yang memungkinkan browser web untuk membuat ciphertext sebagai plaintext.
“Saat Web Open Font Format (WOFF) mengharapkan font berada dalam urutan abjad standar, menggantikan huruf yang diharapkan ‘abcdefghi…’ dengan huruf yang akan diganti, teks yang dimaksud akan ditampilkan di browser, tetapi akan tidak ada di halaman,” analis malware Proofpoint menjelaskan dalam sebuah posting blog.
Taktik phising baru ini setidaknya beroperasi sejak pertengahan 2018
Taktik ini telah terlihat dalam kit phishing dengan sebagian besar file sumber daya tertanggal pada awal Juni 2018, tetapi peneliti malware pertama kali mengamati itu sebulan sebelumnya.
Mengingat metode yang digunakan, ada kemungkinan bahwa framework digunakan bahkan lebih awal dari titik waktu ini.
Pakar Proofpoint mengatakan bahwa kit berbahaya digunakan dalam skema pemanenan kredensial yang menargetkan bank ritel besar di AS.
“Sementara source-code yang disandikan dan berbagai mekanisme telah didokumentasikan dengan baik dalam kit phishing, teknik ini tampaknya unik untuk saat ini dalam penggunaan font web untuk mengimplementasikan pengkodean,” catat para peneliti.
