Sélectionner une page


Hameçonnage

Les sites de phishing utilisent désormais JavaScript pour échapper à la détection en vérifiant si un visiteur navigue sur le site à partir d’une machine virtuelle ou d’un appareil sans tête.

Les entreprises de cybersécurité utilisent généralement des appareils sans tête ou des machines virtuelles pour déterminer si un site Web est utilisé pour le phishing.

Pour contourner la détection, un kit de phishing utilise JavaScript pour vérifier si un navigateur s’exécute sous une machine virtuelle ou sans moniteur connecté. S’il y a des signes de tentatives d’analyse, une page vierge sera affichée au lieu d’afficher la page de phishing.

Découverte par MalwareHunterTeamLe script vérifie la largeur et la hauteur de l’écran du visiteur et utilise l’API WebGL pour interroger le moteur de rendu utilisé par le navigateur.

Utilisez les API pour obtenir des informations sur le rendu et l'écran
Utilisez les API pour obtenir des informations sur le rendu et l’écran

Lors de l’exécution des vérifications, le script vérifie d’abord si le navigateur utilise un logiciel de rendu, par ex. SwiftShader, LLVMpipeou VirtualBox. Les moteurs de rendu logiciels indiquent généralement que le navigateur s’exécute sur une machine virtuelle.

Le script vérifie également si la couleur de l’écran du visiteur est inférieure à 24 bits ou si la hauteur et la largeur de l’écran sont inférieures à 100 pixels, comme indiqué ci-dessous.

Effectuer des analyses pour les machines virtuelles et les périphériques sans tête
Effectuer des analyses pour les machines virtuelles et les périphériques sans tête

Si l’une de ces conditions est détectée, un message sera affiché sur la page de phishing dans la console développeur du navigateur et une page vierge sera présentée au visiteur.

Cependant, si le navigateur utilise un moteur de rendu matériel et une taille d’écran normaux, le script affichera la page de destination de phishing.

Le code utilisé par cet acteur de la menace semble avoir été repris d’un Article 2019 Décrivez comment JavaScript peut être utilisé pour découvrir des machines virtuelles.

Fabian WosarLe directeur technique de la société de cybersécurité Emsisoft a déclaré à BleepingComputer que les logiciels de sécurité utilisent différentes méthodes pour analyser et détecter les sites de phishing. Cela inclut la correspondance de signature et la machine visuelle avec apprentissage automatique.

« Un code comme celui décrit ci-dessus fonctionne en fait pour certaines de ces techniques, mais il est également trivial d’empêcher que cela se produise en ajoutant simplement quelques API JavaScript et en fournissant de » fausses « informations », a déclaré Wosar.

Avec la pratique courante des chercheurs et des sociétés de sécurité de renforcer leurs machines virtuelles pour éviter d’être détectées par des logiciels malveillants, il apparaît désormais qu’ils doivent également les renforcer contre les attaques de phishing.

Pour voir quelles informations sur le rendu et l’écran sont rapportées par votre navigateur, BleepingComputer en a créé une Page de test que vous pouvez utiliser.





Source link

Recent Posts