Дослідники з Juniper Threat Labs виявили революційний метод приховування шкідливого програмного коду, що використовує невидимі символи Unicode. Ця техніка була застосована у серії цільових фішингових атак на політичні організації на початку 2025 року, демонструючи новий рівень витонченості кіберзагроз.
Інноваційний механізм маскування через Unicode
В основі виявленої техніки лежить застосування спеціальних символів Unicode – напівширинного (U+FFA0) та повноширинного (U+3164) хангиля. Зловмисники перетворюють ASCII-символи у восьмибітне двійкове представлення, де кожен біт замінюється невидимим символом. Особливість методу полягає в тому, що закодований шкідливий код візуально відображається як порожнє місце, що суттєво ускладнює його виявлення стандартними засобами захисту.
Технічна реалізація та механізми захисту від виявлення
Атака реалізована через складну багаторівневу систему захисту від виявлення. Завантажувальний скрипт використовує JavaScript Proxy get() для вилучення прихованого корисного навантаження. При зверненні до замаскованої властивості відбувається автоматична конвертація невидимих символів назад у двійковий код з подальшим відновленням початкового JavaScript-коду. Додатково застосовуються методи кодування base64 та механізми анти-відладки.
Особливості цільових атак та методи протидії
Аналітики відзначають високий рівень персоналізації атак та використання непублічної інформації про цільові організації. Зловмисники застосовують складні механізми маскування, включаючи рекурсивні Postmark-посилання для відстеження. При спробі аналізу шкідливий код перенаправляє жертву на безпечний ресурс, ускладнюючи процес виявлення загрози.
Експерти Juniper Threat Labs встановили зв’язок між використаними доменами та відомим фішинговим інструментарієм Tycoon 2FA. Концепція, вперше представлена розробником Мартіном Клеппом у жовтні 2024 року, швидко знайшла застосування у зловмисних цілях. Фахівці рекомендують організаціям посилити моніторинг підозрілої JavaScript-активності, особливо пов’язаної з невидимими символами Unicode, та впровадити додаткові механізми захисту від новітніх технік обфускації коду.
