網絡釣魚活動使用的 Homoglyph 攻擊和 Magecart 攻擊

研究人員詳細介紹了一種新的evasive網絡釣魚技術，該技術利用經過修改的網站圖標注入e-skimmer并秘密竊取支付卡數據。

網絡安全公司Malwarebytes的研究人員分析了Magecart攻擊中使用的一種新的evasive網絡釣魚技術。黑客使用typo-squatted域名，將多個站點的訪問者作為目標，并修改了圖標，以注入用于竊取支付卡信息的軟件。

該技術稱為homoglyph攻擊，它涉及到帶有IDN homograph攻擊的網絡釣魚詐騙。

Malwarebytes研究人員發表的分析報告說：“這個想法很簡單，它包含使用看起來相同的字符來欺騙用戶” 。“有時字符來自不同的語言集，或者只是將字母’i’大寫以使其看起來像小寫字母’l’。”

Magecart組織已在多個域上使用國際化域名（IDN）同形異義詞攻擊技術，將InterSoftware Skimmer加載到favicon文件中。

這種視覺欺騙利用字符腳本的相似性，注冊看起來與合法域名相似的欺詐性域名，然后攻擊者欺騙受害者訪問這些域名。

在分析homoglyph攻擊時，專家們還發現合法網站（e.g., “cigarpage.com”）已受到攻擊，并注入了無害的圖標文件加載程序，該圖標文件從 typo-squatted 的域名(“cigarpaqe[.]com”)復制的圖標文件。

從homoglyph域加載的收藏夾圖標使攻擊者能夠注入Inter InterJavaScript Skimmer。

• 專家注意到，這種攻擊所涉及的欺詐域之一（“ zoplm.com”）以前與Magecart Group 8有關，該團隊是NutriBullet和MyPillow攻擊的幕后黑手。

“第四個域名在其他域名中脫穎而出：zoplm.com。這也是zopim.com的homoglyph文字，但是該域具有歷史記錄。它先前與Magecart Group 8（RiskIQ）/ CoffeMokko（IB組）相關聯，并且在不活躍數月后最近再次注冊。” 繼續分析道。
“此外，Group 8還記錄了引人注目的違規行為，其中包括一個與此相關的違規行為：MyPillow漏洞。這涉及注入在mypiltow.com上托管的惡意第三方JavaScript。雖然homoglyph攻擊不僅限于一個威脅參與者，尤其是在欺騙合法Web屬性方面，但與基礎結構重用相關的注意仍然很有趣。”

為了避免網絡釣魚攻擊，更高級的用戶必須仔細檢查打算訪問的網站URL，避免單擊電子郵件，聊天消息和其他公共可用內容中的鏈接，并對其帳戶啟用多因素身份驗證以保護帳戶免遭攻擊被劫持。