【安全资讯】网络钓鱼攻击利用隐形Unicode技巧隐藏JavaScript

概要：

近期，一种新的JavaScript混淆方法被广泛应用于针对美国政治行动委员会（PAC）附属机构的网络钓鱼攻击中。这种方法利用隐形Unicode字符来表示二进制值，显示出攻击者的高超技术。Juniper Threat Labs报告称，这一攻击发生在2025年1月，显示出个性化的非公开信息被用来精准锁定受害者，且攻击手法复杂，难以被检测。

主要内容：

这种新的混淆技术利用了隐形Unicode字符，特别是Hangul半宽（U+FFA0）和Hangul全宽（U+3164）。JavaScript有效载荷中的每个ASCII字符都被转换为8位二进制表示，随后用隐形的Hangul字符替代。这使得恶意代码在脚本中看似为空，降低了被安全扫描器检测的可能性。

攻击者还使用了额外的隐蔽步骤，例如用base64编码脚本，并进行反调试检查，以逃避分析。Juniper分析师指出，攻击的个性化程度很高，甚至包括非公开信息，初始JavaScript会尝试调用调试器断点，如果被分析则会检测延迟并中止攻击，重定向至无害网站。

由于有效载荷仅作为对象中的一个属性存在，它可以被注入到合法脚本中而不引起怀疑。此外，这种编码过程易于实现，不需要高级知识。Juniper表示，此次活动中使用的两个域名曾与Tycoon 2FA钓鱼工具相关联，未来可能会有更多攻击者采用这种隐形混淆方法。