仿冒网站现在正在使用JavaScript通过检查访问者是否正在从虚拟机或无头设备浏览站点来逃避检测。
网络安全公司通常使用无头设备或虚拟机来确定是否将网站用于网络钓鱼。
为了绕过检测,网络钓鱼套件利用JavaScript来检查浏览器是在虚拟机下运行还是在未连接监视器的情况下运行。如果发现任何分析尝试的迹象,它将显示空白页面,而不显示网络钓鱼页面。
该脚本由MalwareHunterTeam发现 ,该脚本检查访问者屏幕的宽度和高度,并使用WebGL API查询浏览器使用的渲染引擎。
执行检查时,脚本将首先查看浏览器是否使用软件渲染器,例如 SwiftShader, LLVMpipe或VirtualBox。软件渲染器通常指示浏览器正在虚拟机中运行。
该脚本还会检查访问者的屏幕的色深是否小于24位,或者屏幕的高度和宽度是否小于100像素,如下所示。
如果检测到以上任何一种情况,网络钓鱼页面将在浏览器的开发人员控制台中显示一条消息,并向访问者显示一个空白页面。
但是,如果浏览器使用常规的硬件渲染引擎和标准的屏幕大小,则脚本将显示网络钓鱼登录页面。
该威胁行为者使用的代码似乎取自2019年的一篇文章,该文章描述了如何使用JavaScript检测虚拟机。
网络安全公司Emsisoft的首席技术官Fabian Wosar告诉BleepingComputer,安全软件利用多种方法来扫描和检测网络钓鱼站点。其中包括签名匹配和使用机器学习的视觉机器。
Wosar解释说:“上面的代码实际上可以用于其中的某些技术。但是,通过挂接几个JavaScript API并提供“虚假”信息来防止这种情况也是微不足道的。
对于研究人员和安全公司来说,加固其虚拟机以逃避恶意软件的检测是很常见的,现在看来,他们现在还必须加固它们以抵抗网络钓鱼攻击。
为了查看浏览器报告了哪些渲染器和屏幕信息,BleepingComputer创建了一个可使用的测试页。
*编译:Domino
*来自:bleepingcomputer