20/02/25
Злоумышленники используют невидимые символы Unicode для сокрытия вредоносного кода, делая его практически невидимым как для аналитиков, так и для автоматизированных систем защиты.
Метод основан на замене бинарных значений символов ASCII на невидимые юникодные символы Hangul (U+FFA0 и U+3164). Это позволяет внедрять вредоносный код в легитимные скрипты без привлечения внимания. Кроме того, скрытый код сохраняется как свойство объекта JavaScript, а его расшифровка происходит с помощью JavaScript Proxy, который восстанавливает исходный код при его вызове, пишет Securitylab.
Исследователи отметили, что атаки носили высоко персонализированный характер: использовалась закрытая информация о жертвах, применялись методы антиотладки, включая проверку задержки исполнения кода и автоматический выход при обнаружении отладчика. Также для сокрытия конечного фишингового URL применялась рекурсивная обёртка ссылок через Postmark.
Этот метод обфускации впервые был раскрыт JavaScript-разработчиком Мартином Клеппе в октябре 2024 года. Менее чем за три месяца его начали активно использовать киберпреступники, что подчёркивает скорость адаптации новых техник в реальных атаках.
Juniper Threat Labs связывает обнаруженные атаки с фишинговым инструментарием Tycoon 2FA, который ранее использовался для компрометации учётных записей с двухфакторной аутентификацией. Это говорит о высокой вероятности распространения нового метода среди более широкого круга злоумышленников.
Техника обфускации с применением невидимых символов Unicode затрудняет обнаружение угроз, так как большинство анализаторов кода просто не распознают такие символы как часть программного кода. Учитывая простоту внедрения этого метода и его высокую эффективность в обходе механизмов обнаружения, можно ожидать дальнейшего его распространения среди киберпреступников.
