一种利用隐形Unicode字符代表二进制值的新型JavaScript混淆技术，正被积极用于针对美国政治行动委员会（PAC）附属机构的钓鱼攻击中。Juniper Threat Labs发现这一攻击发生在2025年1月初，具有明显的复杂性特征，包括：

• 使用个性化的非公开信息锁定受害者
• 利用调试器断点和时间检查来逃避检测
• 递归包装的Postmark跟踪链接以隐藏最终的钓鱼目的地

JS负载的“隐形”技术

这种新型混淆技术利用了隐形Unicode字符，特别是半宽韩文字符（U+FFA0）和全宽韩文字符（U+3164）。每个JavaScript负载中的ASCII字符被转换为8位二进制表示，其中的二进制值（1和0）被替换为隐形的韩文字符。

混淆后的代码作为属性存储在JavaScript对象中，由于韩文填充字符显示为空白，脚本中的负载看起来是空的，如下图所示尾部的空白空间。

空白隐藏恶意代码 来源：Juniper

一个简短的引导脚本使用JavaScript Proxy的'get()陷阱'来检索隐藏的负载。当访问隐藏属性时，Proxy将隐形韩文填充字符转换回二进制并重建原始JavaScript代码。

额外的隐蔽手段和安全挑战

Juniper分析师报告称，攻击者除了上述方法外，还使用了额外的隐蔽步骤，如使用base64编码脚本，并使用反调试检查来逃避分析。

一系列韩文填充字符的Base64编码 来源：Juniper

Juniper解释说：“这些攻击高度个性化，包含非公开信息。如果正在分析，初始的JavaScript将尝试调用调试器断点，检测到延迟，然后通过重定向到良性网站来中止攻击。”

由于空白提高了被安全扫描器标记为恶意的难度，这种攻击难以检测。此外，负载仅是对象中的一个属性，因此可以注入到合法脚本中而不会引起怀疑，整个编码过程也易于实现，不需要高级知识。

Juniper提到，此活动中使用的两个域名此前与Tycoon 2FA钓鱼工具有关联。如果情况属实，未来我们可能会看到这种隐形混淆技术被更广泛的攻击者采用。

参考来源：

Phishing attack hides JavaScript using invisible Unicode trick

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）