概述

Proofpoint研究人员最近观察到一个网络钓鱼工具包，它在冒充大型银行收集凭据的过程中使用了一种特殊编码。虽然钓鱼工具包中对源码进行编码以及各种混淆机制均已记录在案，但这种使用Web字体实现编码的技术确实是独一无二的。

在浏览器中呈现的网络钓鱼登陆页面，是一个典型的假冒大牌银行进行网上银行凭证网络钓鱼的页面。但是，页面的源代码包含不常见的编码的可见文本（图1）

图1：网络钓鱼登陆页的代码片段

从网页复制明文并将其粘贴到文本文件中就能生成编码的文本。

可以通过简单的字符替换密码对文本进行解码，使得对于自动化系统的网络钓鱼登陆页面的检测变得简单。但是，在此情形之下实施替代值得进一步商榷。

网络钓鱼工具包中的替换函数通常在JavaScript中实现，但页面源中不会出现此类函数。相反，我们在CSS代码中确定了登陆页的替换源（图2）。

图2：来自网络钓鱼登陆页面源代码的CSS @ font-face规则

在审查了威胁行为者留下的许多仿冒钓鱼工具包之后，我们知道在../fonts/目录中没有工具包，使得base64编码的woff和woff2成为唯一加载的字体。

如果我们提取、转换和查看woff和woff2 web字体文件，我们会看到以下字体规范：

图3：“woff”字体规范

然后，此网络钓鱼登陆页面使用自定义Web字体文件使浏览器将密文呈现为明文。由于Web开放字体格式（WOFF）期望字体按标准字母顺序排列，将预期字母“abcdefghi …”替换为要替换的字母，预期文本将显示在浏览器中，但不会存在于页面上。

还值得注意的是，被盗用的银行品牌是通过SVG（可缩放矢量图形）呈现的，因此徽标及其来源不会出现在源代码中（图4）。实际徽标和其他可视资源的链接也可能被模仿的品牌检测到。

图4：显示被盗银行徽标的SVG的代码片段

我们首先在2018年5月观察到该工具包的使用，但该工具包肯定更早出现在野外。我们在此工具包样本中观察到的资源文件的大多数存档日期都是2018年6月初。

总结

威胁行为者继续引入新技术来逃避检测，并将活动隐藏在毫无戒心的受害者，安全供应商，甚至精明的机构中。在本案例中，攻击者开发了一个网络钓鱼模板，该模板使用自定义Web字体来实现替换密码，提供精心设计的美国主要银行的网络钓鱼页面来获取凭据。虽然替换密码本身很简单，但是通过Web字体文件的实现看起来是独一无二的，这使得网络钓鱼行为者具备了另一种隐藏其踪迹和欺骗消费者的技术。

IOCs

我们确定了几个与网络钓鱼工具包相关联的电子邮件地址，这些地址都在PHP源代码中，并且硬编码为被盗凭据的收件人。这些地址包括：

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com

· [email protected][.]com