ZeroFont. Il nuovo metodo di phishing per indurre Outlook in errore e mostrare false scansioni Antivirus

Gli hacker criminali stanno utilizzando un nuovo trucco che prevede l’utilizzo di caratteri nelle e-mail e far sì che queste appaiano scansionate in modo sicuro agli strumenti di sicurezza di Microsoft Outlook.

Sebbene la tecnica di phishing ZeroFont sia stata utilizzata in passato, questa è la prima volta che viene documentata come utilizzata in questo modo.

In un nuovo rapporto dell’analista di ISC Sans Jan Kopriva, il ricercatore di sicurezza avverte che questo trucco potrebbe fare un’enorme differenza nell’efficacia delle operazioni di phishing e che gli utenti dovrebbero essere consapevoli della sua esistenza e del suo utilizzo in natura.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Nello specifico, una email di phishing rilevata da Jan Kopriva mostra che un malintenzionato utilizza l’attacco ZeroFont per manipolare le anteprime dei messaggi su client di posta elettronica ampiamente utilizzati come Microsoft Outlook.

L’e-mail in questione mostrava un messaggio diverso nell’elenco e-mail di Outlook rispetto al riquadro di anteprima. Come puoi vedere di seguito, nel riquadro dell’elenco delle email viene visualizzato “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM”, mentre l’inizio dell’email nel riquadro di anteprima/lettura visualizza “Lavoro Offerta | Opportunità di lavoro.”

Cosa sono gli attacchi ZeroFont

Ad esempio, può essere inviata un’e-mail ad un cliente che tenta di rappresentare una notifica sul limite di quota di Office 365. Il messaggio sembra un comune attacco di phishing tramite messaggio da parte del servizio amministrativo che normalmente verrebbe rilevato ma, in questo caso, non è stato contrassegnato da Microsoft come messaggio di posta elettronica di phishing. 

Questa e-mail non è stata contrassegnata da Microsoft perché l’hacker criminale ha inserito testo casuale all’interno dell’e-mail per suddividere le stringhe di testo che avrebbero attivato l’elaborazione del linguaggio naturale di Microsoft.

In alcuni casi vengono utilizzate parole casuali. Questi caratteri inseriti vengono incorporati nel codice HTML per avere una dimensione del carattere pari a zero, rendendoli invisibili al destinatario dell’e-mail. Di seguito è riportato uno screenshot del codice HTML grezzo del contenuto dell’email, che mostra i caratteri ZeroFont inseriti.

Quando il destinatario legge l’e-mail, tutto il testo con “FONT-SIZE: 0px” scompare, lasciando il testo che l’aggressore vuole che venga visualizzato.

Questo attacco mira a eludere i filtri di sicurezza inserendo termini benigni invisibili che si mescolano a contenuti visibili sospetti, distorcendo l’interpretazione del contenuto da parte dell’intelligenza artificiale e il risultato dei controlli di sicurezza.

Il metodo di attacco ZeroFont, documentato per la prima volta da  Avanan nel 2018 , è una tecnica di phishing che sfrutta i difetti nel modo in cui i sistemi di intelligenza artificiale e di elaborazione del linguaggio naturale (NLP) nelle piattaforme di sicurezza della posta elettronica analizzano il testo.

Nel suo rapporto del 2018, Avanan ha avvertito che ZeroFont ha aggirato la protezione avanzata dalle minacce (ATP) di Office 365 di Microsoft anche quando le e-mail contenevano parole chiave dannose note.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.