不明身份的攻击者使用新型逃避检测技术实施以盗窃信用卡信息为目的的网络攻击活动

2021年1月26日，美国网络安全企业FireEye公司发布报告，称其近期监测到一起网络钓鱼攻击活动。该攻击主要针对美洲和澳洲地区，攻击者发送的钓鱼邮件中包含仿冒成国际快递公司DHL的钓鱼网站链接，该网站旨在窃取信用卡数据等个人隐私信息，被窃取的信息最终将通过电子邮件或Telegram及时通讯程序发送至攻击者。值得注意的是，攻击者使用了罕见技术对其钓鱼页面代码进行混淆，并使用WOFF字体文件对其解码，以此逃避检测。 此次攻击的主要过程为：攻击者模仿国际快递DHL的电子邮件向目标发送带有恶意链接的钓鱼邮件，诱使目标点击链接，链接地址为攻击者仿冒的DHL网站，页面要求提供信用卡的详细信息，信息成功提交后将被发送至攻击者。报告称，该网络钓鱼活动使用了一种罕见的技术对页面源代码进行混淆。页面源代码包含正确的字符串、有效的标签和适当的格式，但其中包含恶意编码，这些编码在加载页面之前会呈现出乱码，通常此类编码中会包含解码脚本函数对其进行解码，但该页面中并未包含解码功能。其解码由WOFF（Web开放字体格式）字体文件完成，该文件具有独特的解码规则，在页面内容中不可见，最终由style.css文件加载完成。