【資安快訊】最新 JavaScript 混淆技術被用於網路釣魚攻擊
Juniper Threat Labs 的研究人員警告,目前發現有網路釣魚攻擊採用一種全新的 JavaScript 混淆技術,以隱藏惡意腳本。
研究團隊指出:「在2025年1月初調查一起針對美國某主要政治行動委員會(PAC)附屬組織的高階網路釣魚攻擊事件時,我們觀察到了一種新的 JavaScript 混淆技術。」
這項技術首次是在2024年10月由一位資安研究員透過 X(前稱 Twitter)公開描述的。令人驚訝的是,僅僅數個月後,這種攻擊手法就被攻擊者實際應用於真實攻擊中,顯示出攻擊者將最新的資安研究迅速轉化為武器的能力。
該混淆技術的特點,是利用韓文字母中的空白Unicode字符,對惡意 JavaScript 進行編碼及隱藏,使其對人類和安全工具而言難以察覺,但卻能在被觸發時正常執行。
Juniper 的研究人員進一步解釋:「2024年10月8日,Martin Kleppe 首次透過 X 展示了此技術。10月28日,這項技術的進一步改良版本被公開,完整範例可參考:https://aem1k[.]com/invisible/encoder/。」
這種編碼方式利用了兩種不同的 Unicode 填充字符——韓文半形和韓文全形分別代表二進位的 0 和 1。每8個字符形成一個位元組(byte),代表一個 ASCII 字元。攻擊的有效負載隱藏在腳本屬性中,以短小的引導程式(bootstrap)和 Proxy 的 get() 陷阱方式,當屬性被存取時執行攻擊。
攻擊者總是不斷尋找新的方法,以突破現有的技術性資安防禦措施。因此,透過最新的安全意識教育訓練(New-school Security Awareness Training),可以為企業提供重要的防護層,有效降低社交工程攻擊帶來的風險。
KnowBe4 致力於協助企業員工每天做出更明智的資安決策。目前全球已有超過70,000間企業使用 KnowBe4 平台,來強化安全文化並降低人為風險。
