Phishing sites now detect virtual machines to bypass detection

นักวิจัยพบเทคนิคใหม่ของเว็บไซต์ฟิชชิงที่กำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับ

นักวิจัยจากทีม MalwareHunter ตรวจพบเว็บไซต์ฟิชชิงกำลังใช้ JavaScript เพื่อหลบเลี่ยงการตรวจจับโดยใช้ JavaScript ดังกล่าวทำจะการตรวจสอบว่าผู้เยี่ยมชมกำลังเช้าชมเว็บไซต์จากเครื่อง Virtual machine (VM) หรืออุปกรณ์ headless device หรือไม่ ถ้าตรวจสอบว่าใช่จะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม

นักวิจัยกล่าวว่าเทคนิคที่ใช้ในการหลีกเลี่ยงการตรวจสอบเว็บไซต์ฟิชชิงจะใช้ JavaScript เพื่อตรวจสอบว่าเบราว์เซอร์ทำงานภายใต้เครื่อง VM หรือเข้าสู่เว็บไซต์โดย Command-line interface (CLI) หากพบสัญญาณของความพยายามในการวิเคราะห์ข้อมูลบนเว็บไซต์ฟิชชิงดังกล่าวจะแสดงหน้าเพจว่างแทนที่จะแสดงหน้าฟิชชิงปกติ

นักวิจัยกล่าวอีกว่าสคริปต์จะทำการตรวจสอบความกว้างและความสูงของหน้าจอของผู้เยี่ยมชมและใช้ WebGL API เพื่อสืบค้นเว็บเอ็นจิ้นสำหรับการแสดงผลที่เบราว์เซอร์ใช้ นอกจากนี้สคริปต์ยังตรวจสอบด้วยว่าหน้าจอของผู้เยี่ยมชมมีความลึกของสีน้อยกว่า 24 บิตหรือไม่ หรือความสูงและความกว้างของหน้าจอน้อยกว่า 100 พิกเซล ซึ่งหากตรวจพบเงื่อนไขใดๆ เหล่านี้หน้าเพจฟิชชิงจะแสดงหน้าเพจที่ว่างเปล่าให้กับผู้เยี่ยมชม อย่างไรก็ตามหากเบราว์เซอร์ใช้เครื่องมือและการแสดงผลฮาร์ดแวร์ปกติและขนาดหน้าจอมาตรฐานสคริปต์จะแสดงหน้า Landing Page ของฟิชชิ่ง

ทั้งนี้นักวิจัยคาดว่าผู้ประสงค์ร้ายได้นำโค้ดมาจากบทความปี 2019 ที่อธิบายถึงวิธีใช้ JavaScript เพื่อตรวจจับเครื่อง VM สำหรับผู้ที่สนใจบทความสามารถดูได้ที่นี่: https://bannedit.github.io/Virtual-Machine-Detection-In-The-Browser.html

ที่มา : bleepingcomputer