Cuidado! Uma Campanha de E-Mail de Phishing Usa Fontes Minúsculas para Burlar a Proteção
Os pesquisadores de segurança da Avanan, uma parte da família do CheckPoint Security, descobriram uma recente campanha de e-mails de phishing, voltada para e-mails comerciais. Os e-mails de phishing estavam usando uma nova técnica para contornar os filtros de proteção automatizados.
A Avanan registrou a atividade da campanha em setembro de 2021. Esse esforço específico tentou comprometer as contas dos usuário do Microsoft 365 e usou vários métodos para ofuscar os componentes maliciosos das mensagens.
A campanha foi batizada como OnePoint pela equipe de segurança, devido ao fato de ocultar strings de texto no corpo dos e-mails, utilizando uma fonte que é renderizada como um único pixel por letra na tela, tornando-a praticamente invisível.
Outra tática de ofuscação usada nos emails de phishing incluía o alinhamento de links maliciosos dentro do componente CSS dos emails. O objetivo de usar esse tipo de alinhamento e ofuscação é que ele conseguiu confundir os filtros de linguagem natural, como a própria PNL da Microsoft ou a tecnologia de "processamento de linguagem natural".
Links maliciosos também são incorporados às tags da fonte HTML da campanha de phishing nos e-mails. Isso serve ainda para mascarar o conteúdo malicioso e confundir os filtros automatizados.
A empresa que detectou essa campanha em setembro de 2021 também identificou uma semelhante há três anos, quando malfeitores usavam fontes de tamanho zero que nunca aparecem na tela do usuário, nem mesmo como uma única linha de pixels.
O gancho usado na campanha de phishing do OnePoint é uma mensagem falsa "sua senha está prestes a expirar". A vítima é então induzida a inserir suas credenciais em falsos formulários de login, que simplesmente canalizam as strings de dados de login inseridas para os servidores dos malfeitores.
Como uma defesa adicional contra ataques semelhantes que usam novas técnicas de ofuscação, os pesquisadores de segurança recomendam o uso de uma camada secundária de segurança de IA de aprendizado de máquina, adicionada em cima de quaisquer filtros de linguagem natural.