近日，安全公司MalwareHunterTeam發現有網絡釣魚仿冒網站正在使用JavaScript檢查訪問是否來自虛擬機或“無頭設備”（無顯示器），并屏蔽此類訪問以逃避安全檢測。

　　因為網絡安全公司通常使用無頭設備或虛擬機來確定一個網站是否是釣魚網站。

　　為了繞過檢測，網絡釣魚套件利用JavaScript來檢查瀏覽器是在虛擬機下運行還是在未連接監視器的情況下運行。如果發現任何安全分析嘗試的跡象，該釣魚網站將顯示空白頁面，而不顯示網絡釣魚頁面。

　　MalwareHunterTeam發現，該腳本會檢查訪問者屏幕的寬度和高度，并使用WebGL API查詢瀏覽器使用的渲染引擎。

　　使用API獲取瀏覽器渲染和屏幕信息

　　該腳本還會檢查訪問者的屏幕的色深是否小于24位，或者屏幕的高度和寬度是否小于100像素。

　　如果檢測到以上任何一種情況，網絡釣魚頁面將在瀏覽器的開發人員控制臺中顯示一條消息，并向訪問者顯示一個空白頁面。

　　但是，如果瀏覽器使用常規的硬件渲染引擎和標準的屏幕大小，則腳本將顯示網絡釣魚登錄頁面。

　　該威脅行為者使用的代碼似乎取材自2019年的一篇文章，該文章描述了如何使用JavaScript檢測虛擬機。

　　網絡安全公司Emsisoft的首席技術官Fabian Wosar指出，網絡安全軟件利用多種方法來掃描和檢測網絡釣魚站點。其中包括簽名匹配和使用機器學習的虛擬機。

　　Wosar解釋說：“上面的代碼實際上可以用于其中的某些技術。但是，通過掛接幾個JavaScript API并提供‘虛假’信息來防止這種情況也是微不足道的。”

　　對于研究人員和安全公司來說，加固其虛擬機以避免被惡意軟件檢測到是很常見的做法，現在看來，他們現在還必須用類似的方法來對付網絡釣魚攻擊。