Hackere lurer Outlook til å vise falske AV-skanninger

Hackere lurer Outlook til å vise falske AV-skanninger

Tidsstempel: 27. september 2023 10
Kilde node: 2294872

Trusselaktører bruker en eksisterende teknikk for nullpunktsfontobfuskering på en ny måte å lure Microsoft Outlook-brukere til å tro at phishing-e-poster har blitt kontrollert av antivirusskanninger.

Teknikken kan forbedre sannsynligheten for at phishing-e-poster vil skli forbi ikke bare sikkerhetsbeskyttelse, men også lure mottakere til å falle for svindel.

SANS Internet Storm Center-analytiker Jan Kopriva kom over en phishing-e-post som brukte tekst skrevet med en font med null pikselstørrelse - en obfuskeringsteknikk som først ble dokumentert av forskere ved Avanan, et Check Point-selskap, i 2018 og kalt ZeroFont Phishing - brukt "på en ganske ny måte," skrev han.

Angripere har lenge innebygd tekst med null skriftstørrelse i phishing-e-poster for å bryte opp tekst skrevet på en normal, synlig måte for å gjøre det vanskeligere for automatiserte e-postskanningssystemer som den som brukes av Outlook til å oppdage mistenkelige meldinger. ZeroFont-teknikken observert av Kopriva hadde imidlertid en helt annen hensikt.

"Det var ikke ment å hindre automatiserte skannere i å identifisere meldingen som potensielt uredelig/ondsinnet, men i stedet for å få meldingen til å virke mer pålitelig for mottakeren," skrev han i innlegget sitt.

Teknikken endrer teksten som vanligvis vil bli vist i oppføringsruten i Outlook - som vises til venstre, ved siden av meldingsteksten og gir brukere ledetråder til hva som er i meldingen, forklarte Kopriva, også med Tsjekkias Nettles Consulting.

I stedet for bare å vise den vanlige e-postemnelinjen og begynnelsen av meldingsteksten som kan ha varslet brukeren om en phishing-svindel, viste teksten i oppføringsruten emnelinjen – og deretter en annen tekstlinje som indikerer at meldingen var skannet og sikret av en trusselbeskyttelsestjeneste.

Manipulere ZeroFont

Innbygging av liten tekst i null- eller ettpunkts skriftområde – en annen teknikk oppdaget av Avanan kalt "Én skrift" — er en av mange måter trusselaktører har utviklet for å skape mer unnvikende sofistikert phishing-svindel. Den lille skriftstørrelsen bryter e-postskanningsteknikker som er avhengige av semantisk analyse, og forvirrer systemet mens e-postmottakere ikke oppdager teksten fordi den er for liten til å lese.

I phishing-e-posten som Kopriva observerte, inkluderte angripere på en smart måte tekst som indikerer bekreftelsen av meldingen - det vil si "skannet og sikret med Isc®Advanced Threat Protection (APT): 9/22/2023T6:42 AM" - i null skriftstørrelse før teksten i meldingen, sa han.

Dette skapte et scenario der tekst som ser ut til å bekrefte meldingen som sikker, var synlig for brukeren i meldingens oppføringsrute i Outlook - under meldingens emnelinje i stedet for den faktiske første linjen i phishing-e-postmeldingen, som vises på høyre side av skjermen i brukergrensesnittet.

Teknikken viser at angripere misbruker en egenskap ved hvordan Outlook viser e-postmeldingstekst, forklarte Kopriva.

"Det synes som Outlook (og sannsynligvis andre [e-postbrukeragenter]) viser all tekst som er tilstede i begynnelsen av en melding i oppføringsvisningen, selv om den har null skriftstørrelse, som dessverre kan (mis)brukes», skrev han.

Hold ansatte informert

Kopriva erkjente at det er mulig at taktikken allerede har blitt brukt i naturen en stund.

«Det er i alle fall et lite tillegg til trussel aktør verktøykasse som kan brukes til å lage mer effektive phishing-kampanjer, og det er derfor absolutt bra for oss – som forsvarere – å være klar over det,» la Kopriva til.

Siden teknikken allerede er i bruk av angripere, bør organisasjoner som gjennomfører phishing-orienterte sikkerhetsbevissthetskurs informere ansatte om teknikken slik at de lett kan oppdage eventuelle uredelige meldinger som bruker det som et middel for anti-deteksjon, la Kopriva til.

Tidstempel:

Mer fra Mørk lesning