Специалисты по кибербезопасности из Juniper Threat Labs выявили инновационную технику сокрытия вредоносного кода, использующую невидимые символы Unicode. Данный метод был применен в серии целенаправленных фишинговых атак на организации политической направленности в начале 2025 года.
Механизм работы новой техники обфускации
В основе метода лежит использование специальных символов Unicode — полуширинного (U+FFA0) и полноширинного (U+3164) хангыля. Процесс маскировки происходит путем преобразования ASCII-символов в восьмибитное двоичное представление, где биты заменяются невидимыми символами хангыля. Особенность данного подхода заключается в том, что закодированная вредоносная нагрузка визуально отображается как пустое пространство, что существенно затрудняет обнаружение угрозы традиционными средствами защиты.
Технические особенности реализации атаки
Злоумышленники использовали комплексный подход к реализации атаки, включающий несколько уровней защиты от обнаружения. Загрузочный скрипт применяет механизм JavaScript Proxy get() для извлечения скрытой полезной нагрузки. При обращении к замаскированному свойству происходит автоматическая конвертация невидимых символов обратно в двоичный код с последующим восстановлением исходного JavaScript-кода. Дополнительно применяются методы кодирования base64 и механизмы антиотладки для противодействия анализу.
Особенности таргетированных атак
Исследователи отмечают высокий уровень персонализации атак. Злоумышленники располагали непубличной информацией о целевых организациях и применяли сложные механизмы маскировки, включая рекурсивные Postmark-ссылки для отслеживания. Вредоносный код содержал функции обнаружения отладки и при попытке анализа перенаправлял жертву на безопасный ресурс.
Аналитики Juniper Threat Labs установили связь между доменами, использованными в атаках, и известным фишинговым инструментарием Tycoon 2FA. Эксперты прогнозируют дальнейшее распространение данной техники обфускации в будущих кибератаках и рекомендуют организациям усилить мониторинг подозрительной JavaScript-активности, особенно связанной с невидимыми символами Unicode. Важно отметить, что первоначально концепция была представлена разработчиком Мартином Клеппом в октябре 2024 года, но быстро нашла применение в злонамеренных целях.