Los sitios de phishing detectan máquinas virtuales para evitar la detección

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los sitios de phishing ahora usan JavaScript para evadir la detección al verificar si un visitante está navegando por el sitio desde una máquina virtual.

Las empresas de ciberseguridad suelen utilizar máquinas virtuales para determinar si un sitio web se utiliza para el phishing.

Para evitar la detección, un kit de phishing utiliza JavaScript para verificar si un navegador se está ejecutando en una máquina virtual o sin un monitor adjunto. Si descubre algún signo de intentos de análisis, muestra una página en blanco en lugar de mostrar la página de phishing.

Descubierto por MalwareHunterTeam, el script verifica el ancho y alto de la pantalla del visitante y usa la API WebGL para consultar el motor de renderizado usado por el navegador.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Al realizar las comprobaciones, la secuencia de comandos primero verá si el navegador utiliza un renderizador de software, como SwiftShader, LLVMpipe o VirtualBox. Los procesadores de software suelen indicar que el navegador se está ejecutando dentro de una máquina virtual.

El script también comprueba si la pantalla del visitante tiene una profundidad de color de menos de 24 bits o si la altura y el ancho de la pantalla son menos de 100 píxeles, como se muestra a continuación.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Si detecta alguna de estas condiciones, la página de phishing mostrará un mensaje en la consola del desarrollador del navegador y mostrará una página vacía al visitante.

Sin embargo, si el navegador utiliza un motor de procesamiento de hardware normal y un tamaño de pantalla estándar, el script mostrará la página de inicio de phishing.

El código utilizado por este actor de amenazas parece haber sido tomado de un artículo de 2019 que describe cómo se puede usar JavaScript para detectar máquinas virtuales.

Fabian Wosar, CTO de la firma de ciberseguridad Emsisoft, declaró que el software de seguridad utiliza una variedad de métodos para buscar y detectar sitios de phishing. Estos incluyen la coincidencia de firmas y la máquina visual mediante el aprendizaje automático.

"Un código como el anterior en realidad funcionará para algunas de estas técnicas. Sin embargo, también es trivial evitarlo simplemente conectando un par de API de JavaScript y proporcionando información" falsa ", explicó Wosar.

Como es común que los investigadores y las empresas de seguridad refuercen sus máquinas virtuales para evadir la detección por parte del malware, parece que ahora también tendrán que fortalecerlas contra los ataques de phishing.

Como una forma de ver qué renderizador y qué información de pantalla reporta su navegador, BleepingComputer ha creado una página de prueba que se puede usar para tal fin:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta