电子窃取活动使用 Unicode 混淆来隐藏蒙古语窃取器

e-Skimming广告系列使用Unicode混淆来隐藏蒙古撇渣器

Jscrambler的研究人员使用独特的JavaScript混淆发现了一场掠夺活动，并带有重音角色，隐藏了一个名为Mongolian Skimmer的撇渣器。

JSCRAMBLER研究人员使用独特的JavaScript混淆与重音角色揭露了一场掠夺活动

攻击者使用异常的Unicode字符作为变量和函数名称。

研究人员发现它使用Unicode字符“蒙古字母OE”作为代码中的标识符，该撇渣器被称为“蒙古撇渣器”。 JSCRAMBLER的研究人员分析了SANSEC威胁Intel共享的此次浏览活动中采用的恶意软件样本。 使用重音的Unicode字符是不寻常的，并且使人类难以阅读和分析代码。 “但是，在JSCRAMBLER研究人员开始研究混淆的时候，他们立即意识到这不是一种新的幻想技术 - 它只是利用了众所周知的JavaScript语言能力：根据Ecmascript标准，可以使用标识符中使用任何Unicode字符（例如，可变名称）。”阅读JSCrambler发布的报告。 “附加的混淆确实引入了混乱（我们称这种混淆效力），但并没有增加任何弹性（使用手动或自动化方法，对逆向工程的逆转程度有多困难）。 “ 能够在标识符中使用任何Unicode字符 报告 蒙古撇渣器使用通用技术：dom监视敏感输入更改，通过编码跟踪像素的数据去渗透，DevTools检测到逃避调试，页面卸载数据收集，跨浏览器兼容性以及防吹式措施，以避免代码篡改代码。 nunload 在Twitter上关注我：@securityaffairs和Facebook @securityaffairs Facebook Pierluigi Paganini （SecurityFaffairs - 黑客，蒙古撇渣器） （ SecurityFaffairs - hacking，蒙古撇渣器）

该撇渣器被称为“蒙古撇渣器”。

JSCRAMBLER的研究人员分析了SANSEC威胁Intel共享的此次浏览活动中采用的恶意软件样本。

使用重音的Unicode字符是不寻常的，并且使人类难以阅读和分析代码。

“但是，在JSCRAMBLER研究人员开始研究混淆的时候，他们立即意识到这不是一种新的幻想技术 - 它只是利用了众所周知的JavaScript语言能力：根据Ecmascript标准，可以使用标识符中使用任何Unicode字符（例如，可变名称）。”阅读JSCrambler发布的报告。 “附加的混淆确实引入了混乱（我们称这种混淆效力），但并没有增加任何弹性（使用手动或自动化方法，对逆向工程的逆转程度有多困难）。 “ 能够在标识符中使用任何Unicode字符

报告

蒙古撇渣器使用通用技术：dom监视敏感输入更改，通过编码跟踪像素的数据去渗透，DevTools检测到逃避调试，页面卸载数据收集，跨浏览器兼容性以及防吹式措施，以避免代码篡改代码。

nunload

在Twitter上关注我：@securityaffairs和Facebook @securityaffairs

Facebook

Pierluigi Paganini

（SecurityFaffairs - 黑客，蒙古撇渣器） （ SecurityFaffairs -hacking，蒙古撇渣器）