Остерегаться! Кампания по фишинговой электронной почте использует крошечные шрифты для обхода защиты
Исследователи в области безопасности компании Avanan, входящей в семейство CheckPoint Security, обнаружили недавнюю фишинговую рассылку электронной почты, нацеленную на деловые электронные письма. В фишинговых письмах использовался новый метод обхода автоматических фильтров защиты.
Avanan зарегистрировал активность кампании еще в сентябре 2021 года. Эта конкретная попытка была предпринята для взлома учетных записей пользователей Microsoft 365 и использовала несколько методов для сокрытия вредоносных компонентов сообщений.
Команда безопасности назвала кампанию OnePoint из-за того, что она скрывает текстовые строки в теле электронных писем, используя шрифт, который отображается как один пиксель на букву на экране, что делает его практически невидимым.
Еще одна тактика обфускации, используемая в фишинговых письмах, включала вложение вредоносных ссылок внутри CSS-компонента электронных писем. Цель использования такого рода вложенности и обфускации состоит в том, что ему удалось запутать фильтры естественного языка, такие как собственная технология Microsoft NLP или «обработка естественного языка».
Вредоносные ссылки также встраиваются в HTML-теги шрифтов фишинг-кампании в электронных письмах. Это также служит для маскировки вредоносного контента и запутывания автоматических фильтров.
Компания, обнаружившая эту кампанию в сентябре 2021 года, также заметила аналогичную кампанию три года назад, когда злоумышленники использовали шрифты нулевого размера, которые никогда не отображались на экране пользователя, даже в виде одной строки пикселей.
Хук, используемый в фишинг-кампании OnePoint, представляет собой поддельное сообщение «срок действия вашего пароля скоро истечет». Затем жертву соблазняют ввести свои учетные данные в поддельные формы входа, которые просто перенаправляют введенные строки данных входа на серверы злоумышленников.
В качестве дополнительной защиты от подобных атак , в которых используются новые методы обфускации, исследователи безопасности рекомендуют использовать дополнительный уровень безопасности ИИ с машинным обучением, добавляемый поверх любых фильтров естественного языка.