Cybersicherheitsforscher von Juniper Threat Labs haben eine bahnbrechende Methode zur Verschleierung von Schadcode aufgedeckt, die unsichtbare Unicode-Zeichen nutzt. Diese hochentwickelte Technik wurde Anfang 2025 bei gezielten Phishing-Kampagnen gegen politische Organisationen eingesetzt und markiert einen bedeutenden Fortschritt in der Evolution von Cyber-Bedrohungen.
Technische Innovation: Unsichtbare Unicode-Zeichen als Tarnkappe
Die neue Verschleierungstechnik basiert auf der innovativen Verwendung spezieller Unicode-Zeichen des koreanischen Hangul-Alphabets – konkret dem halbbreiten (U+FFA0) und vollbreiten (U+3164) Hangul-Füllzeichen. Der Verschleierungsprozess wandelt ASCII-Zeichen in eine 8-Bit-Binärdarstellung um, wobei die einzelnen Bits durch diese unsichtbaren Hangul-Zeichen ersetzt werden. Das Ergebnis ist visuell nicht wahrnehmbar und erscheint als leerer Raum, was die Erkennung durch herkömmliche Sicherheitssysteme erheblich erschwert.
Komplexe Implementierung und Schutzmaßnahmen
Die Angreifer haben einen mehrschichtigen Ansatz implementiert, der verschiedene Erkennungsschutzmaßnahmen kombiniert. Ein ausgeklügelter JavaScript-Loader nutzt den Proxy get()-Mechanismus, um die getarnte Payload zu extrahieren und zu dekodieren. Zusätzliche Sicherheitsebenen umfassen Base64-Kodierung und Anti-Debugging-Mechanismen, die eine forensische Analyse erschweren.
Gezielte Angriffe mit hoher Sophistikation
Die Untersuchungen zeigen eine außergewöhnlich hohe Präzision bei der Zielauswahl. Die Angreifer verfügten über detaillierte interne Informationen der Zielorganisationen und nutzten fortschrittliche Tracking-Mechanismen wie rekursive Postmark-Links. Bei Erkennungsversuchen leitet der Schadcode die Opfer automatisch auf legitime Websites um, was die Analyse zusätzlich erschwert.
Die Experten haben eine Verbindung zwischen den verwendeten Domains und dem bekannten Tycoon 2FA Phishing-Kit nachgewiesen. Diese Technik, die ursprünglich im Oktober 2024 von Martin Klepp als Konzept vorgestellt wurde, hat sich schnell zu einem effektiven Werkzeug für Cyberkriminelle entwickelt. Sicherheitsexperten empfehlen Organisationen dringend, ihre JavaScript-Monitoring-Systeme zu aktualisieren und spezielle Erkennungsmechanismen für unsichtbare Unicode-Zeichen zu implementieren. Die weitere Verbreitung dieser Verschleierungstechnik in zukünftigen Cyberangriffen gilt als wahrscheinlich.
