HomeWiadomości ITNigdy nie uwierzysz, jak ZeroFont oszukuje Outlooka fałszywymi skanami antywirusowymi!
Wiadomości IT

Nigdy nie uwierzysz, jak ZeroFont oszukuje Outlooka fałszywymi skanami antywirusowymi!

By Jean-Luc Pircard , on 16 lutego, 2024 , updated on 16 lutego, 2024 — Hakerstwo, Perspektywy - 3 minutes to read
Notez-moi

Microsoft Outlook

Hakerzy stosują nową sztuczkę polegającą na używaniu czcionek o zerowym rozmiarze w wiadomościach e-mail, aby sprawiać wrażenie, że te złośliwe wiadomości e-mail zostały bezpiecznie przeskanowane przez narzędzia bezpieczeństwa programu Microsoft Outlook.

Chociaż technika phishingu ZeroFont była stosowana w przeszłości, po raz pierwszy została ona udokumentowana w tej formie.

W nowym raporcie analityka Jana Koprivy z ISC Sans badacz ostrzega, że ​​ta sztuczka może mieć ogromny wpływ na skuteczność operacji phishingowych. Użytkownicy powinni być świadomi jego istnienia i stosowania.

Ataki ZeroFonta

Metoda ataku ZeroFont, po raz pierwszy udokumentowana przez Avanana w 2018 r., to technika phishingu wykorzystująca luki w sposobie, w jaki systemy sztucznej inteligencji i przetwarzania języka naturalnego (NLP) e-maili platform bezpieczeństwa analizują tekst.

Polega na wstawianiu ukrytych słów lub znaków w wiadomościach e-mail poprzez ustawienie rozmiaru czcionki na zero, dzięki czemu tekst staje się niewidoczny dla odbiorców, a jednocześnie jest czytelny dla algorytmów NLP.

Atak ten ma na celu ominięcie filtrów bezpieczeństwa poprzez wstawienie nieszkodliwych, niewidocznych terminów, które mieszają się z podejrzaną widoczną treścią, zniekształcając interpretację treści przez sztuczną inteligencję i wynik kontroli bezpieczeństwa.

W swoim raporcie z 2018 roku Avanan ostrzegł, że ZeroFont omija zaawansowaną ochronę przed zagrożeniami (ATP) pakietu Office 365 firmy Microsoft, nawet jeśli wiadomości e-mail zawierają znane złośliwe słowa kluczowe.

Ukryj fałszywe skany wirusów

W nowej wiadomości e-mail phishingowej zaobserwowanej przez Kopriva złośliwy aktor wykorzystuje atak ZeroFont do manipulowania podglądami wiadomości w powszechnie używanych klientach poczty e-mail, takich jak Microsoft Outlook.

W szczególności w przypadku danej wiadomości e-mail na liście e-mail programu Outlook jest wyświetlana inna wiadomość niż w okienku podglądu.

Jak widać poniżej, w okienku listy e-mail widnieje informacja „Przeskanowano i zabezpieczono przez Isc®Advanced Threat Protection (APT): 22.09.2023T6:42”, natomiast na początku wiadomości e-mail w okienku podglądu widnieje informacja „Zadanie Oferta | Możliwość zatrudnienia”.

Złośliwa wiadomość typu phishing
Złośliwa wiadomość typu phishing (isc.sans.edu)

Różnicę tę osiąga się poprzez użycie ZeroFont do ukrycia fałszywej wiadomości skanowania bezpieczeństwa na początku wiadomości e-mail phishingowej, dzięki czemu nie jest ona widoczna dla odbiorcy, ale program Outlook nadal ją wykrywa i wyświetla jako podgląd w panelu listy wiadomości e-mail.

Atak z zerową czcionką ukrywający komunikat skanowania antywirusowego
Atak czcionki o zerowym rozmiarze ukrywający wiadomość o skanowaniu antywirusowym
Źródło: ISC Sans

Celem jest zaszczepienie u odbiorcy fałszywego poczucia legitymizacji i bezpieczeństwa.

Prezentując zwodniczą wiadomość skanującą bezpieczeństwo, wzrasta prawdopodobieństwo, że cel otworzy wiadomość i wejdzie w interakcję z jej zawartością.

Program Outlook może nie być jedynym klientem poczty e-mail, który pobiera pierwszą część wiadomości e-mail w celu wyświetlenia podglądu wiadomości bez sprawdzania, czy rozmiar czcionki jest prawidłowy, dlatego zaleca się zachowanie czujności także w przypadku użytkowników innych programów.

Źródło naszych informacji

Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.