Attenzione! La campagna e-mail di phishing utilizza caratteri minuscoli per aggirare la protezione

I ricercatori di sicurezza con Avnan, una parte della famiglia CheckPoint Security, hanno scoperto una recente campagna e-mail di phishing mirata alle e-mail aziendali. Le e-mail di phishing utilizzavano una nuova tecnica per aggirare i filtri di protezione automatizzati.

Avanan ha registrato l'attività della campagna nel settembre 2021. Questo particolare sforzo ha tentato di compromettere gli account utente di Microsoft 365 e ha utilizzato più metodi per offuscare i componenti dannosi dei messaggi.

La campagna è stata nominata OnePoint dal team di sicurezza per il fatto che nasconde stringhe di testo nel corpo delle e-mail, utilizzando un carattere che viene visualizzato come un singolo pixel per lettera sullo schermo, rendendolo praticamente invisibile.

Un'altra tattica di offuscamento utilizzata nelle e-mail di phishing includeva l'annidamento di collegamenti dannosi all'interno del componente CSS delle e-mail. Lo scopo dell'utilizzo di questo tipo di annidamento e offuscamento è che è riuscito a confondere i filtri del linguaggio naturale, come la tecnologia NLP di Microsoft o "elaborazione del linguaggio naturale".

I collegamenti dannosi sono anche incorporati all'interno dei tag dei caratteri HTML della campagna di phishing nelle e-mail. Questo serve ulteriormente per mascherare il contenuto dannoso e confondere i filtri automatici.

La società che ha rilevato questa campagna di settembre 2021 ne ha individuata una simile tre anni fa, quando i cattivi attori utilizzavano caratteri di dimensioni zero che non venivano mai visualizzati sullo schermo dell'utente, nemmeno come una singola riga di pixel.

L'hook utilizzato nella campagna di phishing di OnePoint è un falso messaggio "la tua password sta per scadere". La vittima viene quindi indotta a inserire le proprie credenziali in moduli di accesso falsi che semplicemente incanalano le stringhe di dati di accesso immesse ai server dei malintenzionati.

Come ulteriore difesa contro attacchi simili che utilizzano nuove tecniche di offuscamento, i ricercatori sulla sicurezza consigliano di utilizzare un livello di sicurezza di intelligenza artificiale secondario, ad apprendimento automatico, aggiunto a qualsiasi filtro del linguaggio naturale.