Share

เทคนิคการโจมตี Phishing ด้วย JavaScript แบบใหม่ที่ Encode ด้วย Unicode

Last updated: 21 Feb 2025
51 Views
สรุปข้อมูล
พบการโจมตี Phishing แบบใหม่ด้วย Obfuscation JavaScript โดยใช้เทคนิคการ Encode Unicode ที่มุ่งเป้าการโจมตีไปยัง Affiliates of an American Political Action Committee (PAC) ประกอบกับใช้ข้อมูลส่วนตัวในการเล็งเป้าหมายที่จะใช้ Breakpoint และเวลาของ Debugger ในการหลีกเลี่ยงการตรวจจับ และการทำ Wrap Tracking Link ของ Postmark ซ้ำ ๆ เพื่อซ่อนเป้าหมายของแฮกเกอร์ในกระบวนการโจมตี ส่งผลให้ยากต่อการตรวจจับ และยังสามารถดำเนินการโจมตีเพิ่มเติมได้
 
รายละเอียดการโจมตี
เทคนิคการทำให้ Payload JavaScript หลีกเลี่ยงการตรวจจับ โดยการใช้ประโยชน์จาก Encode Unicode Character ด้วย Hangul Half-width และ Hangul Full-width ในการแทนด้วยค่า Binary 0 และ 1 ตามลำดับที่อยู่ใน Script ซึ่งจะถูกประมวลผลด้วย Bootstrap Code ผ่าน Proxy get() trap
 
รูปที่ 1: ตัวอย่าง Script ที่ใช้ในการโจมตีโดยใช้ White Space ของ Hangul Character
 
หากต้องการแปลงจากการ Encode ข้างต้นกลับจะใช้ Function ของ Python ในการ Decode White Space ด้วยการเติม Hangul และแปลงกลับมาเป็น Plaintext ที่สามารถอ่านได้ นอกจากนี้ยังพบการโจมตีที่ใช้ Base 64 ในการ Encode Hangul Character อีกรอบ ประกอบกับการใช้ข้อมูลของเหยื่อ Breakpoint และเวลาของ Debugger และใช้ Wrap ซ้ำ ๆ ใน Postmark Tracking Link ในการโจมตี
 
ผลกระทบจากการโจมตี
ผลจากการโจมตี Phishing โดยใช้เทคนิคการ Encode ด้วย Hangul Character ทำให้รายละเอียด Code ใน Script เป็น White Space เพื่อหลบเลี่ยงการตรวจจับระบบความปลอดภัยต่าง ๆ ส่งผลให้แฮกเกอร์สามารถ Inject Code ที่อันตรายเข้าไปใน Script เพื่อใช้ในการโจมตีเพิ่มเติมต่อ ๆ ไปได้
 
คำแนะนำ
  • Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
  • เปิดใช้งาน Mail Gateway เพื่อป้องการอีเมลและลิงก์ที่อันตราย
  • อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
  • ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ เช่น เพิ่มการตรวจจับ Unicode Character และ White Space ที่น่าสงสัยเพิ่มเติม
  • พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม

 

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/phishing-attack-hides-javascript-using-invisible-unicode-trick/

https://blogs.juniper.net/en-us/threat-research/invisible-obfuscation-technique-used-in-pac-attack

Tags :
#Phishing
#JavaScript
#Encode
#Unicode
#ECOP
#ECOPTH
#YourTrustedCybersecuritServicesCompany
#Cybersecurity
#Cybersecuritynews
Related Content
กลุ่มแฮกเกอร์ Lotus Blossom ใช้ประโยชน์จาก WMI และมัลแวร์ Sagerunex ในการโจมตี
กลุ่มแฮกเกอร์ Lotus Blossom ใช้ประโยชน์จาก WMI และมัลแวร์ Sagerunex ในการโจมตี
1 Apr 2025
พบช่องโหว่ Authentication Bypass ใน VMware Tools สำหรับ Windows
พบช่องโหว่ Authentication Bypass ใน VMware Tools สำหรับ Windows
1 Apr 2025
ช่องโหว่ CVE-2025-2848 ใน Synology Mail Server ที่สามารถ Remote เพื่อแก้ไข Config
ช่องโหว่ CVE-2025-2848 ใน Synology Mail Server ที่สามารถ Remote เพื่อแก้ไข Config
31 Mar 2025
Compare product
0/4
Remove all
Compare