Redazione RHC : 27 Settembre 2023 07:42
Gli hacker criminali stanno utilizzando un nuovo trucco che prevede l’utilizzo di caratteri nelle e-mail e far sì che queste appaiano scansionate in modo sicuro agli strumenti di sicurezza di Microsoft Outlook.
Sebbene la tecnica di phishing ZeroFont sia stata utilizzata in passato, questa è la prima volta che viene documentata come utilizzata in questo modo.
In un nuovo rapporto dell’analista di ISC Sans Jan Kopriva, il ricercatore di sicurezza avverte che questo trucco potrebbe fare un’enorme differenza nell’efficacia delle operazioni di phishing e che gli utenti dovrebbero essere consapevoli della sua esistenza e del suo utilizzo in natura.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Nello specifico, una email di phishing rilevata da Jan Kopriva mostra che un malintenzionato utilizza l’attacco ZeroFont per manipolare le anteprime dei messaggi su client di posta elettronica ampiamente utilizzati come Microsoft Outlook.
L’e-mail in questione mostrava un messaggio diverso nell’elenco e-mail di Outlook rispetto al riquadro di anteprima. Come puoi vedere di seguito, nel riquadro dell’elenco delle email viene visualizzato “Scanned and secured by Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM”, mentre l’inizio dell’email nel riquadro di anteprima/lettura visualizza “Lavoro Offerta | Opportunità di lavoro.”
Ad esempio, può essere inviata un’e-mail ad un cliente che tenta di rappresentare una notifica sul limite di quota di Office 365. Il messaggio sembra un comune attacco di phishing tramite messaggio da parte del servizio amministrativo che normalmente verrebbe rilevato ma, in questo caso, non è stato contrassegnato da Microsoft come messaggio di posta elettronica di phishing.
Questa e-mail non è stata contrassegnata da Microsoft perché l’hacker criminale ha inserito testo casuale all’interno dell’e-mail per suddividere le stringhe di testo che avrebbero attivato l’elaborazione del linguaggio naturale di Microsoft.
In alcuni casi vengono utilizzate parole casuali. Questi caratteri inseriti vengono incorporati nel codice HTML per avere una dimensione del carattere pari a zero, rendendoli invisibili al destinatario dell’e-mail. Di seguito è riportato uno screenshot del codice HTML grezzo del contenuto dell’email, che mostra i caratteri ZeroFont inseriti.
Quando il destinatario legge l’e-mail, tutto il testo con “FONT-SIZE: 0px” scompare, lasciando il testo che l’aggressore vuole che venga visualizzato.
Questo attacco mira a eludere i filtri di sicurezza inserendo termini benigni invisibili che si mescolano a contenuti visibili sospetti, distorcendo l’interpretazione del contenuto da parte dell’intelligenza artificiale e il risultato dei controlli di sicurezza.
Il metodo di attacco ZeroFont, documentato per la prima volta da Avanan nel 2018 , è una tecnica di phishing che sfrutta i difetti nel modo in cui i sistemi di intelligenza artificiale e di elaborazione del linguaggio naturale (NLP) nelle piattaforme di sicurezza della posta elettronica analizzano il testo.
Nel suo rapporto del 2018, Avanan ha avvertito che ZeroFont ha aggirato la protezione avanzata dalle minacce (ATP) di Office 365 di Microsoft anche quando le e-mail contenevano parole chiave dannose note.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006