Innovation et détournement vont de pair en cybersécurité : ce qui était une curiosité technique devient une ruse pour les cybercriminels. Grâce à une technique d’obfuscation utilisant des caractères invisibles, une nouvelle campagne de phishing échappe aux analyses et frappe des cibles de choix.
Revers de la médaille du sérieux des chercheurs en cybersécurité, les cybercriminels sont désormais de plus en plus véloces à mettre en œuvre leurs découvertes. Ainsi des attaquants ont mis en oeuvre une technique d’obfuscation décrite par Martin Kleppe pour cacher du code JavaScript malveillant dans leurs attaques par Phishing.
Celle-ci sert en effet de fondation d’attaque et d’évasion dans une campagne de phishing lancée début janvier 2025, repérée et analysée par les chercheurs des Juniper Threat Labs, qui ciblait des affiliés d’un important comité d’action politique américain.
Pour mener à bien leur campagne et échapper aux technologies de détection antimalwares, les attaquants ont ainsi adopté la technique d’obfuscation dévoilée initialement par Martin Kleppe sur X en octobre 2024. Cette technique exploite deux caractères invisibles issus de l’alphabet Hangul – l’un à largeur demi (U+FFA0) et l’autre à largeur pleine (U+3164) – pour représenter les bits 0 et 1. En regroupant huit de ces symboles, chaque octet correspond à un caractère ASCII, dissimulant ainsi le véritable contenu du script dans ce qui apparaît à l’humain comme un vide quasi total.
Pour renforcer la dissimulation, le code ainsi encodé est ensuite intégré en tant que propriété dans un objet JavaScript et activé via un mécanisme de Proxy « get() ». De surcroît, l’ensemble du script est souvent retranscrit en base64, produisant des chaînes répétitives qui ne laissent transparaître aucun indice visuel.
Plus fort encore! Parallèlement à ces techniques de dissimulation, des routines anti-debug (incluant l’invocation de points d’arrêt et des vérifications temporelles) ont été ajoutées par les cyberattaquants afin d’’interrompre l’attaque et rediriger vers des sites inoffensifs dès que le code malveillant détecte une tentative d’analyse du code masqué.
Les liens de phishing, quant à eux, sont masqués sous forme d’URLs de suivi Postmark, encapsulées de manière récursive pour dissimuler la destination finale de l’attaque. Parmi les indicateurs de compromission, on retrouve notamment les domaines veracidep[.]ru et mentespic[.]ru, liés par le passé au kit de phishing Tycoon 2FA.
Cette adoption démontre deux choses. D’abord que les cybercriminels se tiennent bien informés des trouvailles des White Hats et autres chercheurs en cybersécurité. Ensuite, qu’il leur faut peut de temps pour s’approprier les découvertes et les ajuster à leurs propres besoins malveillants, aussi techniques et avancées que puissent être ces découvertes.
puis