几十年来,网络攻击者一直使用电子邮件混淆技术将恶意代码或数据隐藏在文件、脚本或网络流量中。电子邮件混淆方法有很多,例如将地址放入机器人无法读取的图像、验证码或文本中。这种传统的电子邮件混淆策略众所周知,安全控制措施历来擅长修补和阻止它们。但最近,我们的威胁研究人员发现了一些旨在逃避现代安全控制的新技术。下面,我们将详细介绍这种新的攻击技术,包括我们的研究人员观察到的真实示例。
基于 JavaScript 的混淆涉及将地址动态放置在网页上,从而有效地将其隐藏在机器人面前。攻击者可以为包含电子邮件地址的 HTML 标签设置 ID,并使用 base64(一种二进制到文本的编码方案)对电子邮件进行编码。Base64 通过将二进制数据转换为可视表示形式来表示 ASCII 字符串格式的二进制数据,以确保人类可以阅读可打印的数据。
隐藏编码旨在通过只能可靠地支持文本内容的通道传输二进制数据,使其成为在脚本或 HTML 文档中嵌入二进制数据的理想选择。将文本编码为 base64 等字符集是一种有效的混淆技术,因为通过编码进行混淆会使安全工具和分析师更难分析和检测恶意内容。攻击者利用 base64 和类似的编码技术来隐藏恶意软件、逃避过滤器、嵌入恶意代码并促进数据泄露。
新的网络钓鱼攻击采用了同形异义词技术
在设计攻击时,攻击者会问自己:“我如何才能以一种用户清晰可见、可理解的方式创建内容,但技术控制却无法理解它?”
一种有效的方法是同形异义词攻击,这是一种网络威胁,利用不同文字字符之间的相似性来欺骗用户访问恶意网站或打开有害文件。这种技术依赖于同形异义词的使用,即看起来相似但属于不同字符集的字符,例如拉丁字母和西里尔字母。
例如,攻击者可能会注册一个看起来与合法域名相似的域名,方法是用不同字母表中的相似字符替换该域名。然后,攻击者可以在钓鱼电子邮件
