FireEye, una nuova campagna di phishing sfrutta WOFF Obfuscation

La campagna di phishing oltre a tecniche di offuscamento del codice sorgente, sfruttano anche domini compromessi.

Attacchi WOFF Obfuscation

FireEye rileva che in Europa e America è partita una nuova campagna di phishing che sfrutta WOFF Obfuscation e alcuni canali Telegram. Infatti l’azienda ha recentemente rilevato diverse campagne di phishing, che utilizzano tecniche di offuscamento del codice sorgente e sfruttano domini compromessi. Questi domini si presentavano come se fossero dei siti web autentici e rubavano informazioni personali tra cui i dati delle carte di credito. Le informazioni sottratte venivano poi condivise attraverso applicazioni di messaggistica istantanea multi piattaforma e basate sul cloud.

Questa campagna, in particolare, utilizzava una falsa pagina di monitoraggio delle spedizioni DHL. L’attacco iniziava con una email ideata per ingannare l’utente e portarlo su un falso sito di DHL. La falsa pagina web a cui si veniva rimandati richiedeva i dettagli della carta di credito delle vittime e li mandava poi agli aggressori. Questa campagna di phishing di DHL utilizza una tecnica poco diffusa per offuscare il codice nella pagina in cui era inserito.

Attacchi WOFF Obfuscation

La pagina conteneva infatti tag validi e una formattazione appropriate. Ma allo stesso tempo conteneva anche testo codificato del tutto incomprensibile senza una decodifica prima del suo caricamento. La decodifica di tale testo è effettuata da uno script all’interno del codice. In questo caso la decodifica è realizzata da un file di font, Web Open Font Format (WOFF), che avviene al caricamento della pagina e non sarà visibile nel contenuto della pagina stessa.

L’aggressore ha creato questo meccanismo per eludere il suo rilevamento da parte delle soluzioni di sicurezza, visto che molti fornitori utilizzano regole statiche basate su firme o regex. La pagina di phishing adatta le parole nella sua pagina in base alla nazione della vittima. Il codice supporta le principali lingue parlate in Europa e nel continente americano. Il backend contiene file PHP per ogni lingua supportata prelevati dinamicamente in base alla geo-localizzazione dell’indirizzo IP dell’utente.

FireEye nuova campagna phishing

Gli aggressori dietro questa campagna di phishing hanno tentato di rubare credenziali, dati delle carte di credito e altre informazioni critiche. I dati rubati sono stati inviati a indirizzi email e canali Telegram controllati direttamente dall’aggressore. Alcune di queste tecniche includono: un kit di phishing accuratamente adattato per evitare il rilevamento da parte dei motori di ispezione dei contenuti, il mancato caricamento se si sospetta un’interazione non umana. Oltre all’utilizzo della lingua locale basata sulla geolocalizzazione IP e l’esfiltrazione di dati tramite un bot di messaggistica istantanea.

Attacchi WOFF Obfuscation

Gli aggressori, specialmente quelli che si occupano di campagne di phishing, sono sempre alla ricerca di nuovi metodi per eludere il rilevamento delle soluzioni di sicurezza. L’offuscamento offre loro un vantaggio che rende più difficile, per i fornitori di sicurezza, proteggere i loro clienti. Utilizzando le applicazioni di messaggistica istantanea gli aggressori ottengono i dati degli utenti in tempo reale. Le vittime possono opporre poca resistenza una volta che le loro informazioni personali sono compromesse.

Attacchi WOFF Obfuscation

FireEye Email Security, grazie all’utilizzo di FAUDE (FireEye Advanced URL Detection Engine) protegge i clienti da queste tipologia di minacce di phishing. A differenza delle tradizionali tecniche anti-phishing dipendenti dall’ispezione statica del contenuto degli URL di phishing, FAUDE utilizza diversi motori di intelligenza artificiale (AI) e di apprendimento automatico (ML) per contrastare più efficacemente questi attacchi.