Phishing : des polices de caractères spécifiques pour leurrer les systèmes de protection

Les cyber-délinquants à l’origine de campagnes de phishing ne manquent pas de créativité. L’histoire n’a pas manqué de le montrer entre kits de réplication de sites Web légitimes, codage dans les data URI, ou encore utilisation de caractères exotiques dans les adresses des pages Web frauduleuses. Il n’est pas rare, non plus, que le texte affiché à l’internaute, de manière lisible, en clair donc, soit en réalité chiffré, de manière plus ou moins sophistiquée, dans le code source de la page. Du code JavaScript est alors appelé en renfort pour assurer le déchiffrement. Mais il y a plus futé.

Les chercheurs de Proofpoint viennent de détailler, dans un billet de blog, le fruit d’observations entamées au printemps dernier. Et là, surprise, si le texte destiné à l’internaute final est bien masqué dans le code HTML source, ce n’est pas du JavaScript qui est chargé de son déchiffrement, mais du code CSS. Ce dernier fait pour cela appel à une police de caractères taillée sur mesure, téléchargée par le navigateur Web de l’internaute et chargée pour assurer le rendu de la page.

A cette couche supplémentaire de maquillage, utilisée à ce stade de manière relativement rudimentaire – quoiqu’astucieuse –, s’en ajoute une autre, pour les éléments graphiques. Mentionner en clair leur source dans le code HTML pourrait mettre la puce à l’oreille des systèmes de filtrage. Pour éviter cela, les auteurs en assurent le rendu via SVG…

En somme, pour les experts de Proofpoint, les cyber-délinquants sont loin de se reposer sur leurs trophées et « continuent d’introduire de nouvelles techniques pour échapper à la détection et cacher leurs activités », que ce soit à leurs victimes potentielles, aux spécialistes de la sécurité, ou encore aux organisations « éprouvées surveillant d’éventuels détournements de leurs marques ».