即使是最复杂的钓鱼活动，如果无法绕过安全防御也会失败。所以网络攻击者不断尝试新技术来避免被检测，这并不令人意外。

在这篇博文中，我们重点介绍威胁分析师最近发现的两种新型规避技术。

第一种技术使用ASCII/Unicode的"方块(█)"字符组合构建二维码，而不是使用静态图像。这种策略旨在防止安全软件从二维码中提取恶意URL。

第二种技术涉及使用"Blob"(二进制大对象)统一资源标识符(URI)，它访问浏览器内部生成的数据，而不依赖已知的恶意域名。这些Blob URI是动态创建的，会快速过期，这使得它们难以追踪和分析。此外，由于某些安全控制对Blob URI的审查不如传统的HTTP或HTTPS链接那么严格，使用此类URI的钓鱼尝试可能绕过初始检测机制。

新一代恶意二维码

一年前，基于二维码的钓鱼攻击突然增加。数据显示，在2023年第四季度，约有1/20的邮箱成为二维码攻击的目标。

这些攻击通常使用静态的图像二维码。攻击者将恶意链接嵌入二维码中，诱导用户扫描，随后将他们引导到伪装成可信服务或应用的假页面。

安全措施很快做出了应对。光学字符识别(OCR)扫描等工具可以提取、检查并拦截二维码中的恶意URL。

威胁分析师发现了新一代的二维码钓鱼技术，专门用来逃避基于OCR的防御。在这些攻击中，二维码"图像"是由ASCII/Unicode字符构成的。

在邮件中，它看起来就像传统的二维码。但对典型的OCR检测系统来说，它却毫无意义。

示例1

这个钓鱼攻击伪装成管理员分享的"工资和福利登记"文件。当不知情的收件人扫描二维码并点击链接时，会被引导到一个虚假的Microsoft登录页面。

仔细查看二维码，可以看到每个方块之间都有一条线。这是因为二维码不是图像，而是用"实心方块"或"█"字符精心构建的。

示例1（续）

这个二维码是一个49x49的"实心方块"(█)矩阵。为了让它看起来像真实的二维码，在需要白色部分的地方，使用级联样式表(CSS)将这些方块字符的颜色设置为完全透明，使其不可见。

示例2

在这个例子中，攻击者试图冒充快递公司DHL，要求收件人通过扫描二维码填写表格。当二维码被扫描时，受害者会被重定向到一个钓鱼网站。

这个二维码是使用Unicode字符组合构建的：水平线使用"下半方块"(0x2584)，垂直线使用"实心方块"(0x2588)。在这种情况下，二维码的白色部分是通过使用"不换行空格"(nbsp)创建的。

多种组合方式

如上面的例子所示，使用ASCII或Unicode字符集表示"方块"有多种方式。

实际上，有32种不同的"方块"字符，分为三大类：

• 实心方块 - 3种
• 部分方块 - 17种
• 四分之一方块 - 12种

这些字符在钓鱼邮件中都可以用HTML实体、UTF-8编码或UTF-16编码来编码。换句话说，有96种可能的组合。

下表列出了"方块"字符在钓鱼页面中的不同使用方式：

此外，在HTML实体的情况下，每个"方块"可以有多种表示方式，攻击者可以使用单个方块或方块组合来生成他们的ASCII/Unicode二维码。这些都增加了可能组合的总数，使得基于ASCII的二维码难以检测。

建议，如果安全技术发现可能存在ASCII二维码的钓鱼攻击，最简单的选择是对钓鱼邮件进行截图，然后传递给OCR引擎来读取二维码背后的URL。

Blob URI的规避潜力

Blob URI（也称为Blob URL或Object URL）是浏览器用来表示暂时存储在浏览器内存中的二进制数据或类文件对象（称为Blobs）的一种方式。

Blob URI允许网页开发者直接在浏览器中处理二进制数据，如图片、视频或文件，而无需从外部服务器发送或获取数据。

由于Blob URI不从外部URL加载数据，传统的URL过滤和扫描工具可能最初无法识别其中的恶意内容。

攻击者使用Blob URI创建钓鱼页面，希望增加检测系统识别和拦截恶意内容的难度。

威胁分析师看到的第一个使用Blob URI的钓鱼攻击试图冒充Capital One，邀请用户点击"查看您的账户"。这会将用户重定向到一个中间钓鱼页面，该页面创建一个Blob URI并快速将浏览器重定向到新创建的链接地址。

这个Blob URI向受害者展示假冒的Capital One登录页面。

威胁分析师还注意到Blob URI技术被用于冒充Chase银行和加拿大航空的钓鱼攻击中。

结论

规避检测的钓鱼技术已经取得了显著进展，它们对组织构成了越来越大的威胁。网络攻击者不断改进他们的方法以绕过传统的安全措施。随着钓鱼攻击变得更加复杂，实施多层防御策略和培养强大的安全文化变得至关重要。