Trusselaktører bruker en eksisterende teknikk for nullpunktsfontobfuskering på en ny måte å lure Microsoft Outlook-brukere til å tro at phishing-e-poster har blitt kontrollert av antivirusskanninger.
Teknikken kan forbedre sannsynligheten for at phishing-e-poster vil skli forbi ikke bare sikkerhetsbeskyttelse, men også lure mottakere til å falle for svindel.
SANS Internet Storm Center-analytiker Jan Kopriva kom over en phishing-e-post som brukte tekst skrevet med en font med null pikselstørrelse - en obfuskeringsteknikk som først ble dokumentert av forskere ved Avanan, et Check Point-selskap, i 2018 og kalt ZeroFont Phishing - brukt "på en ganske ny måte," skrev han.
Angripere har lenge innebygd tekst med null skriftstørrelse i phishing-e-poster for å bryte opp tekst skrevet på en normal, synlig måte for å gjøre det vanskeligere for automatiserte e-postskanningssystemer som den som brukes av Outlook til å oppdage mistenkelige meldinger. ZeroFont-teknikken observert av Kopriva hadde imidlertid en helt annen hensikt.
"Det var ikke ment å hindre automatiserte skannere i å identifisere meldingen som potensielt uredelig/ondsinnet, men i stedet for å få meldingen til å virke mer pålitelig for mottakeren," skrev han i innlegget sitt.
Teknikken endrer teksten som vanligvis vil bli vist i oppføringsruten i Outlook - som vises til venstre, ved siden av meldingsteksten og gir brukere ledetråder til hva som er i meldingen, forklarte Kopriva, også med Tsjekkias Nettles Consulting.
I stedet for bare å vise den vanlige e-postemnelinjen og begynnelsen av meldingsteksten som kan ha varslet brukeren om en phishing-svindel, viste teksten i oppføringsruten emnelinjen – og deretter en annen tekstlinje som indikerer at meldingen var skannet og sikret av en trusselbeskyttelsestjeneste.
Manipulere ZeroFont
Innbygging av liten tekst i null- eller ettpunkts skriftområde – en annen teknikk oppdaget av Avanan kalt "Én skrift" — er en av mange måter trusselaktører har utviklet for å skape mer unnvikende sofistikert phishing-svindel. Den lille skriftstørrelsen bryter e-postskanningsteknikker som er avhengige av semantisk analyse, og forvirrer systemet mens e-postmottakere ikke oppdager teksten fordi den er for liten til å lese.
I phishing-e-posten som Kopriva observerte, inkluderte angripere på en smart måte tekst som indikerer bekreftelsen av meldingen - det vil si "skannet og sikret med Isc®Advanced Threat Protection (APT): 9/22/2023T6:42 AM" - i null skriftstørrelse før teksten i meldingen, sa han.
Dette skapte et scenario der tekst som ser ut til å bekrefte meldingen som sikker, var synlig for brukeren i meldingens oppføringsrute i Outlook - under meldingens emnelinje i stedet for den faktiske første linjen i phishing-e-postmeldingen, som vises på høyre side av skjermen i brukergrensesnittet.
Teknikken viser at angripere misbruker en egenskap ved hvordan Outlook viser e-postmeldingstekst, forklarte Kopriva.
"Det synes som Outlook (og sannsynligvis andre [e-postbrukeragenter]) viser all tekst som er tilstede i begynnelsen av en melding i oppføringsvisningen, selv om den har null skriftstørrelse, som dessverre kan (mis)brukes», skrev han.
Hold ansatte informert
Kopriva erkjente at det er mulig at taktikken allerede har blitt brukt i naturen en stund.
«Det er i alle fall et lite tillegg til trussel aktør verktøykasse som kan brukes til å lage mer effektive phishing-kampanjer, og det er derfor absolutt bra for oss – som forsvarere – å være klar over det,» la Kopriva til.
Siden teknikken allerede er i bruk av angripere, bør organisasjoner som gjennomfører phishing-orienterte sikkerhetsbevissthetskurs informere ansatte om teknikken slik at de lett kan oppdage eventuelle uredelige meldinger som bruker det som et middel for anti-deteksjon, la Kopriva til.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/endpoint/hackers-abuse-zerofont-phishing-tactic-to-trick-outlook-into-showing-fake-av-scans
- : har
- :er
- :ikke
- $OPP
- 2018
- a
- Om oss
- misbruker
- erkjente
- tvers
- aktører
- faktiske
- la til
- tillegg
- ved siden av
- agenter
- allerede
- også
- helt
- am
- an
- analyse
- analytiker
- og
- En annen
- antivirus
- noen
- vises
- vises
- APT
- ER
- AS
- At
- Automatisert
- AV
- klar
- bevissthet
- BE
- fordi
- vært
- før du
- Begynnelsen
- være
- tro
- under
- kroppen
- Break
- pauser
- men
- by
- kom
- Kampanjer
- CAN
- saken
- sentrum
- Gjerne
- karakteristisk
- sjekk
- Selskapet
- gjennomføre
- Bekrefte
- forvirrende
- konsulent
- kunne
- kurs
- skape
- opprettet
- Tsjekkisk
- Tsjekkisk Republikk
- Defenders
- demonstrerer
- oppdage
- forskjellig
- oppdaget
- Vise
- vises
- skjermer
- dokumentert
- Don
- dubbet
- lett
- Effektiv
- emalje
- e-post
- innebygd
- ansatte
- ansette
- Eter (ETH)
- Selv
- eksisterende
- forklarte
- forfalskning
- Falling
- Først
- Til
- uredelig
- fra
- gir
- god
- hackere
- HAD
- hardere
- Ha
- he
- hindre
- hans
- Hvordan
- Men
- HTTPS
- identifisering
- if
- forbedre
- in
- inkludert
- indikerer
- informere
- i stedet
- tiltenkt
- hensikt
- Interface
- Internet
- inn
- IT
- jan
- jpg
- venstre
- i likhet med
- sannsynligheten
- Sannsynlig
- linje
- oppføring
- Lang
- gjøre
- mange
- Kan..
- midler
- bare
- melding
- meldinger
- Microsoft
- mer
- Ny
- normal
- roman
- observerte
- of
- on
- ONE
- bare
- or
- organisasjoner
- Annen
- Outlook
- brød
- Past
- phishing
- phishing-svindel
- phishing-svindel
- plato
- Platon Data Intelligence
- PlatonData
- Point
- mulig
- Post
- potensielt
- praksis
- presentere
- beskyttelse
- område
- heller
- Lese
- mottakere
- Republic
- forskere
- s
- Sa
- Svindel
- svindel
- skanning
- skanner
- scenario
- Skjerm
- sikre
- sikret
- sikkerhet
- Sikkerhetsbevissthet
- synes
- tjeneste
- bør
- viser
- vist
- side
- Størrelse
- liten
- So
- noen
- sofistikert
- Storm
- emne
- vellykket
- mistenkelig
- system
- T
- teknikker
- tekst
- enn
- Det
- De
- deretter
- derfor
- de
- trussel
- trusselaktører
- tid
- til
- også
- troverdig
- typisk
- dessverre
- us
- bruke
- brukt
- Bruker
- Brukergrensesnitt
- Brukere
- Verifisering
- undersøkt
- Se
- synlig
- var
- var det ikke
- Vei..
- måter
- Hva
- hvilken
- mens
- Wild
- vil
- med
- ville
- skrevet
- skrev
- zephyrnet
- null