Notícias 

Sites de Phishing agora detectam máquinas virtuais para contornar a detecção

Informaker 0 comentários , , , , , , , , , , , , ,

Os sites de phishing agora estão usando o JavaScript para evitar a detecção, verificando se um visitante está navegando no site a partir de uma máquina virtual ou dispositivo sem cabeça.

As empresas de segurança cibernética geralmente usam dispositivos sem cabeça ou máquinas virtuais para determinar se um site é usado para phishing.

Para contornar a detecção, um kit de phishing utiliza o JavaScript para verificar se um navegador está sendo executado sob uma máquina virtual ou sem um monitor conectado. Se ele descobrir algum sinal de tentativas de análise, ele mostra uma página em branco em vez de exibir a página de phishing.

Usando APIs para obter informações de renderizador e tela
Usando APIs para obter informações de renderizador e tela.

O MalwareHunter Team que indentificou esses sites de phishing

Descoberto pelo MalwareHunterTeam, o script verifica a largura e altura da tela do visitante e usa a API do WebGL para consultar o mecanismo de renderização usado pelo navegador.

Ao realizar as verificações, o script verá pela primeira vez se o navegador usa um renderizador de software, como SwiftShader, LLVMpipe ou VirtualBox. Renderizadores de software geralmente indicam que o navegador está sendo executado dentro de uma máquina virtual.

O script também verifica se a tela do visitante tem uma profundidade de cor inferior a 24 bits ou se a altura e largura da tela são inferiores a 100 pixels, como mostrado abaixo.

Performing checks for virtual machines and headless devices
Realizando verificações para máquinas virtuais e dispositivos sem cabeça

Se detectar alguma dessas condições, a página de phishing exibirá uma mensagem no console do desenvolvedor do navegador e mostrará uma página vazia para o visitante.

No entanto, se o navegador usar um mecanismo regular de renderização de hardware e um tamanho de tela padrão, o script exibirá a página de aterrissagem de phishing.

O código usado por este ator de ameaça parece ter sido retirado de um artigo de 2019 descrevendo como javaScript pode ser usado para detectar máquinas virtuais.

Fabian Wosar, CTO da empresa de cibersegurança Emsisoft, disse ao BleepingComputer que o software de segurança utiliza uma variedade de métodos para digitalizar e detectar sites de phishing. Estes incluem correspondência de assinaturas e máquina visual usando aprendizado de máquina.

“Código como o acima realmente vai funcionar para algumas dessas técnicas. No entanto, também é trivial evitar apenas enganchar algumas APIs JavaScript e fornecer informações “falsas”, explicou Wosar.

 

Deixe uma resposta

Share This
%d blogueiros gostam disto: