Yeni bir JavaScript gizleme yöntemi, görünmez Unicode karakterleri kullanarak ikili (binary) değerleri temsil etme tekniğini kullanıyor. Bu yöntem, bir Amerikan siyasi eylem komitesine (PAC) bağlı kişileri hedef alan oltalama saldırılarında (pishnig) aktif olarak kullanılıyor.
Saldırıyı tespit eden Juniper Threat Labs, saldırının Ocak 2025’in başlarında gerçekleştiğini ve oldukça sofistike teknikler içerdiğini rapor etti. Bunlar arasında:
- Kurbanlara özel, gizli bilgilerin kullanılması,
- Hata ayıklama (debugger) ve zamanlama kontrolleri ile tespit edilmekten kaçınma,
- Son oltalama sitesini gizlemek için iç içe geçmiş Postmark izleme bağlantıları kullanma gibi gelişmiş yöntemler bulunuyor.
Bu JavaScript gizleme tekniği, geliştirici Martin Kleppe tarafından ilk kez Ekim 2024’te duyurulmuştu. Ancak hızla saldırılarda kullanılmaya başlanması, yeni güvenlik araştırmalarının siber suçlular tarafından ne kadar çabuk silaha dönüştürülebildiğini gösteriyor.
Yeni gizleme yöntemi, görünmez Unicode karakterlerini kullanarak JavaScript kodlarını saklıyor. Özellikle Hangul yarım genişlik (U+FFA0) ve Hangul tam genişlik (U+3164) karakterleri bu amaçla kullanılıyor. Saldırı ise şu şekilde yapılıyor.
- JavaScript kodundaki her ASCII karakter, 8 bitlik bir binary (ikili) değere dönüştürülüyor.
- 0 ve 1’lerden oluşan bu binary dizisi, görünmez Hangul karakterleriyle değiştirilerek saklanıyor.
- Bu gizlenmiş kod, JavaScript içinde bir nesnenin (object) özelliği olarak saklanıyor.
- Unicode karakterleri görünmez olduğu için, kod dışarıdan tamamen boş bir alan gibi görünüyor.
- Kodu çalıştırmak için kısa bir “bootstrap” script kullanılıyor.
- Bu script, bir JavaScript Proxy ‘get()’ yöntemiyle saklı veriye erişiyor.
- Erişim gerçekleştiğinde, görünmez Unicode karakterleri tekrar binary formatına dönüştürülüyor ve orijinal JavaScript kodu yeniden oluşturuluyor.
Bu teknik, güvenlik tarayıcılarının boşluk (whitespace) içeren kodları genellikle tehlikeli olarak işaretlememesi nedeniyle saldırıların tespit edilmesini zorlaştırıyor.
Juniper araştırmacılarına göre, saldırganlar bu tekniği daha da güçlendirmek için ek yöntemler kullanıyor:
- Base64 ile şifreleme yaparak ekstra katman oluşturuyorlar.
- Anti-debugging teknikleri kullanarak güvenlik analizlerinden kaçınıyorlar.
- Kod çalıştırıldığında hata ayıklama (debugger) ortamında olup olmadığını kontrol ediyor.
- Eğer analiz edildiğini fark ederse, saldırıyı iptal edip kurbanı güvenli bir siteye yönlendiriyor.
Bu saldırılar, kodun dışarıdan boş gözükmesi ve gizli yüklerin güvenilir scriptlere kolayca enjekte edilebilmesi nedeniyle tespit edilmesi oldukça zor. Ayrıca, bu tür saldırıları gerçekleştirmek için ileri seviye teknik bilgiye de gerek duyulmuyor.
Juniper, saldırılarda kullanılan iki alan adının daha önce “Tycoon 2FA” adlı oltalama kitiyle ilişkilendirildiğini belirtiyor. Bu, görünmez Unicode karakterleriyle yapılan bu JavaScript gizleme tekniğinin ilerleyen dönemlerde daha fazla siber saldırgan tarafından benimsenebileceğine işaret ediyor. Güvenlik uzmanları, bu tür yeni tekniklere karşı dikkatli olunması gerektiğini vurguluyor.