조심해! 작은 글꼴을 사용하여 보호를 우회하는 피싱 이메일 캠페인

CheckPoint Security 제품군의 일부인 Avanan의 보안 연구원은 최근 비즈니스 이메일을 대상으로 하는 피싱 이메일 캠페인을 발견했습니다. 피싱 이메일은 자동화된 보호 필터를 우회하기 위해 새로운 기술을 사용하고 있었습니다.

Avanan은 2021년 9월에 캠페인 활동을 등록했습니다. 이 특별한 노력은 Microsoft 365 사용자 계정을 손상시키려고 시도했으며 여러 방법을 사용하여 메시지의 악성 구성 요소를 난독화했습니다.

이 캠페인은 화면에서 문자당 단일 픽셀로 렌더링되는 글꼴을 사용하여 이메일 본문의 텍스트 문자열을 숨겨 사실상 보이지 않게 하기 때문에 보안 팀에서 OnePoint라는 이름을 지정했습니다.

피싱 이메일에 사용된 또 다른 난독화 전술에는 이메일의 CSS 구성요소 내부에 악성 링크 중첩이 포함되었습니다. 이러한 종류의 중첩 및 난독화를 사용하는 목적은 Microsoft의 자체 NLP 또는 "자연어 처리" 기술과 같은 자연어 필터를 혼동하는 데 있습니다.

악성 링크는 이메일에 있는 피싱 캠페인의 HTML 글꼴 태그에도 포함되어 있습니다. 이는 악성 콘텐츠를 숨기고 자동화된 필터를 혼동시키는 역할을 합니다.

이 2021년 9월 캠페인을 감지한 회사는 3년 전에 악의적인 사용자가 사용자의 화면에, 심지어 한 줄의 픽셀로도 표시되지 않는 0 크기 글꼴을 사용하는 유사한 것을 발견했습니다.

OnePoint 피싱 캠페인에 사용된 후크는 가짜 "비밀번호가 만료될 예정입니다." 메시지입니다. 그런 다음 피해자는 입력된 로그인 데이터 문자열을 악의적인 행위자의 서버로 보내는 가짜 로그인 양식에 자격 증명을 입력하도록 유인됩니다.

새로운 난독화 기술을 사용하는 유사한 공격에 대한 추가 방어 수단으로 보안 연구원은 자연어 필터 위에 추가된 2차 기계 학습 AI 보안 계층을 사용할 것을 권장합니다.