يتم إساءة معاملة طريقة تعبير JavaScript الجديدة التي تستخدم شخصيات Unicode غير المرئية لتمثيل القيم الثنائية في هجمات التصيد التي تستهدف الشركات التابعة لجنة العمل السياسي الأمريكي (PAC).
مختبرات تهديدات العرعر التي اكتشفت تقارير الهجوم التي تم إجراؤها في أوائل يناير 2025 وتحمل علامات على التطور مثل استخدام:
- معلومات شخصية غير عامة لاستهداف الضحايا ،
- تفتيح نقطة توقف وتوقيت التصحيح للتهرب من الكشف ،
- روابط تتبع بريدية ملفوفة بشكل متكرر لوجهات التصيد النهائية الغامضة.
مطور JavaScript Martin Kleppe”http://x.com/aemkei/status/1843756978147078286″ الهدف=”_blank” rel=”nofollow noopener”> تم الكشف لأول مرة يسلط تقنية التشويش في أكتوبر 2024 ، وتبنيها السريع في الهجمات الفعلية الضوء على مدى سرعة البحث الجديد.
صنع حمولة JS “invisible”
تستغل تقنية التشويش الجديدة أحرف Unicode غير المرئية ، وتحديداً Hangul Halfth (U+FFA0) و Hangul Width (U+3164).
يتم تحويل كل حرف ASCII في حمولة JavaScript إلى تمثيل ثنائي 8 بت ، ويتم استبدال القيم الثنائية (تلك والأصفار) فيه بأحرف Hangul غير المرئية.
يتم تخزين الكود المتفوق كخاصية في كائن JavaScript ، وبما أن أحرف حشو Hangul يتم تقديمها كمساحة فارغة ، فإن الحمولة في البرنامج النصي تبدو فارغة ، كما هو موضح في المساحة الفارغة في نهاية الصورة أدناه.
المصدر: العرعر
يسترجع البرنامج النصي القصير bootstrap الحمولة الخفية باستخدام وكيل JavaScript ‘Get ().’ عند الوصول إلى الخاصية المخفية ، يقوم الوكيل بتحويل أحرف حشو Hangul غير المرئية إلى ثنائي ويعيد بناء رمز JavaScript الأصلي.
يفيد محللو Juniper أن المهاجمين يستخدمون خطوات إخفاء إضافية بالإضافة إلى ما ورد أعلاه ، مثل ترميز البرنامج النصي باستخدام BASE64 واستخدام عمليات الفحص المضادة للتجنب للتهرب من التحليل.
المصدر: العرعر
“The attacks were highly personalized, including non-public information, and the initial JavaScript would try to invoke a debugger breakpoint if it were being analyzed, detect a delay, and then abort the attack by redirecting to a benign website,” يشرح جونيبر.
من الصعب اكتشاف الهجمات حيث أن المساحة البيضاء الفارغة تقلل من احتمال أن يعلقها الماسحات الضوئية الأمنية بأنها ضارة.
نظرًا لأن الحمولة هي مجرد خاصية في كائن ما ، يمكن حقنها في نصوص شرعية دون رفع الشكوك ؛ بالإضافة إلى ذلك ، فإن عملية الترميز بأكملها سهلة التنفيذ ولا تتطلب معرفة متقدمة.
يقول Juniper إن اثنين من المجالات المستخدمة في هذه الحملة كانت مرتبطة سابقًا بـ”https://www.bleepingcomputer.com/news/security/new-mfa-bypassing-phishing-kit-targets-microsoft-365-gmail-accounts/” الهدف=”_blank” rel=”nofollow noopener”> Tycoon 2FA Phishing Kit.
إذا كان الأمر كذلك ، فمن المحتمل أن نرى طريقة التشويش غير المرئية هذه التي اعتمدتها مجموعة واسعة من المهاجمين في المستقبل.