最近,安全公司MalwareHunterTeam发现 *** 钓鱼假冒网站正在使用JavaScript检查访问是来自虚拟机还是来自虚拟机“无头设备”(无显示器)并屏蔽此类访问以避免安全检测。
因为 *** 安全公司通常使用无头设备或虚拟机来确定一个网站是否是钓鱼网站。
为绕过检测,使用 *** 钓鱼套件JavaScript检查浏览器是在虚拟机下运行还是在不连接监视器的情况下运行。如果发现任何安全分析尝试的迹象,钓鱼网站将显示空白页面,而不是在线钓鱼页面。
MalwareHunterTeam脚本将检查访问者屏幕的宽度和高度并使用它WebGL API查询浏览器使用的渲染引擎。
使用API获取浏览器渲染和屏幕信息
脚本还将检查访问者屏幕的颜色深度是否小于24位,或屏幕的高度和宽度是否小于100像素。
如果检测到上述任何情况,在线钓鱼页面将在浏览器开发人员控制台上显示一条信息,并向访问者显示一个空白页面。
但是,如果浏览器使用传统的硬件渲染引擎和标准的屏幕大小,则脚本将显示在线钓鱼登录页面。
威胁行为者使用的代码似乎是基于2019年的一篇文章,描述了如何使用它JavaScript检测虚拟机。
*** 安全公司Emsisoft首席技术官Fabian Wosar指出 *** 安全软件采用多种 *** 对 *** 钓鱼网站进行扫描和检测。它包括签名匹配和使用机器学习的虚拟机。
Wosar解释说:“上述代码实际上可以用于某些技术。然而,通过挂接几个JavaScript API并提供‘虚假’防止这种情况的信息也是微不足道的。”
对于研究人员和安全公司来说,加强其虚拟机以避免被恶意软件检测很常见的。现在看来,他们必须用类似的 *** 来处理在线钓鱼攻击。
参考资料:
https://bannedit.github.io/Virtual-Machine-Detection-In-The-Browser.html
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章