Хакеры используют новый прием - использование шрифтов с нулевой точкой в электронных письмах для того, чтобы вредоносные письма выглядели как безопасно просканированные средствами защиты в Microsoft Outlook.
Хотя техника фишинга ZeroFont уже использовалась в прошлом, это первый случай ее применения в таком виде.
В новом отчете аналитик ISC Sans Ян Коприва предупреждает, что этот прием может значительно повысить эффективность фишинговых операций, и пользователям следует знать о его существовании и использовании в природе.
Атаки ZeroFont
Метод атаки ZeroFont, впервые задокументированный компанией Avanan в 2018 году, представляет собой фишинговую технику, использующую недостатки в том, как системы искусственного интеллекта и обработки естественного языка (NLP) в платформах защиты электронной почты анализируют текст.
Он предполагает вставку скрытых слов или символов в электронные письма путем установки размера шрифта на нулевое значение, в результате чего текст становится невидимым для человека, но при этом остается читаемым алгоритмами NLP.
Эта атака направлена на обход фильтров безопасности путем вставки невидимых доброкачественных терминов, которые смешиваются с подозрительным видимым содержимым, искажая интерпретацию содержимого искусственным интеллектом и результаты проверки безопасности.
В своем отчете за 2018 год компания Avanan предупредила, что ZeroFont обходит систему расширенной защиты от угроз (ATP) Microsoft Office 365 даже в тех случаях, когда письма содержат известные вредоносные ключевые слова.
Сокрытие фиктивных антивирусных сканирований
В новом фишинговом письме, замеченном Kopriva, угрожающий субъект использует атаку ZeroFont для манипулирования предварительным просмотром сообщений в широко распространенных почтовых клиентах, таких как Microsoft Outlook.
В частности, в списке писем Outlook отображалось другое сообщение, чем в панели предварительного просмотра.
Как показано ниже, на панели списка писем написано "Отсканировано и защищено Isc®Advanced Threat Protection (APT): 9/22/2023T6:42 AM", в то время как в начале письма на панели предварительного просмотра/чтения отображается "Job Offer | Employment Opportunity".
Такое несоответствие достигается за счет использования ZeroFont для скрытия фальшивого сообщения о проверке безопасности в начале фишингового письма, поэтому, хотя оно и не видно получателю, Outlook все равно захватывает его и отображает в качестве превью на панели просмотра/чтения.
Цель - внушить получателю ложное чувство легитимности и безопасности.
Представив обманчивое сообщение о сканировании системы безопасности, можно повысить вероятность того, что адресат откроет письмо и ознакомится с его содержимым.
Возможно, Outlook - не единственный почтовый клиент, который берет первую часть письма для предварительного просмотра сообщения, не проверяя правильность размера шрифта, поэтому пользователям других программ также рекомендуется быть осторожными.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
