Ви ніколи не повірите, як ZeroFont обманює Outlook за допомогою підробленого сканування вірусів!

Хакери використовують новий трюк із використанням шрифтів нульового розміру в електронних листах, щоб створити враження, що ці шкідливі листи безпечно проскановано засобами безпеки Microsoft Outlook.

Хоча техніку фішингу ZeroFont використовували в минулому, це перший раз, коли вона була задокументована в такому вигляді.

У новому звіті аналітика Яна Копріви з ISC Sans дослідник попереджає, що цей трюк може значно змінити ефективність фішингових операцій. Користувачі повинні знати про його існування та використання.

Атаки ZeroFont

Метод атаки ZeroFont, вперше задокументований Avanan у 2018 році, є технікою фішингу, яка використовує недоліки в тому, як системи штучного інтелекту та обробки природної мови (NLP) електронних листів платформ безпеки аналізують текст.

Це передбачає вставлення прихованих слів або символів у електронні листи шляхом встановлення нульового розміру шрифту, роблячи текст невидимим для одержувачів, але залишаючи його читабельним алгоритмами NLP.

Ця атака має на меті обійти фільтри безпеки, вставляючи нешкідливі невидимі терміни, які змішуються з підозрілим видимим вмістом, спотворюючи інтерпретацію ШІ вмісту та результати перевірок безпеки.

У своєму звіті за 2018 рік Аванан попередив, що ZeroFont обійшов Microsoft Office 365 Advanced Threat Protection (ATP), навіть якщо електронні листи містили відомі шкідливі ключові слова.

Приховати підроблені сканування вірусів

У новому фішинговому листі, який спостерігав Kopriva, зловмисник використовує атаку ZeroFont, щоб маніпулювати попереднім переглядом повідомлень у широко використовуваних клієнтах електронної пошти, таких як Microsoft Outlook.

Зокрема, електронний лист, про який йде мова, відображає інше повідомлення в списку електронних листів Outlook, ніж на панелі попереднього перегляду.

Як ви можете бачити нижче, на панелі списку електронних листів написано «Відскановано та захищено Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM», тоді як на початку електронного листа на панелі попереднього перегляду відображається «Вакансія Пропозиція | Можливість працевлаштування».

Ця різниця досягається за допомогою ZeroFont, щоб приховати підроблене повідомлення перевірки безпеки на початку фішингового електронного листа, тому воно не видно одержувачу, але Outlook все одно підбирає його та відображає як попередній перегляд на панелі списку електронних листів.

Мета полягає в тому, щоб прищепити одержувачу помилкове відчуття легітимності та безпеки.

Представляючи оманливе повідомлення перевірки безпеки, підвищується ймовірність того, що ціль відкриє повідомлення та взаємодіє з його вмістом.

Outlook може бути не єдиним клієнтом електронної пошти, який отримує першу частину електронного листа для попереднього перегляду повідомлення без перевірки правильності розміру шрифту, тому користувачам іншого програмного забезпечення також рекомендується бути пильними.

Джерело нашої інформації