Os cibercriminosos estão aproveitando a técnica ZeroFont para induzir os usuários a confiar em e-mails de phishing, alertou Jan Kopriva, manipulador do SANS ISC.
O ataque de phishing ZeroFont
Documentada e batizada pela Avanan em 2018, a técnica ZeroFont envolve o uso de texto escrito em tamanho de fonte “0” em todo o corpo do e-mail.
Nessa campanha, ele foi usado para contornar as proteções antiphishing baseadas em PNL da Microsoft, quebrando as sequências de texto que, de outra forma, as acionariam.
Um novo propósito
Os clientes de email geralmente exibem mensagens em duas janelas adjacentes: a esquerda (janela de listagem) mostrando uma lista de mensagens recebidas, enviadas ou redigidas e a direita mostrando o corpo do email. A viúva esquerda também exibe o nome do remetente, o assunto e o início do texto contido no e-mail.
Kopriva recebeu um e-mail de phishing que usava a técnica de phishing ZeroFont para fazer parecer que o e-mail foi verificado por filtros de e-mail anti-spam.
Mas o texto indicando que ( Verificado e protegido por Isc®Advanced Threat Protection (APT): 9/22/2023T6:42 AM ) só foi exibido no painel de listagem, porque o mesmo texto na mensagem de e-mail foi escrito no início de ele, em tamanho de fonte “0”, e portanto invisível para o destinatário.
O e-mail de phishing exibido no Outlook (Fonte: SANS ISC)
“Parece que o Outlook (e provavelmente outros [agentes de usuários de email]) exibe qualquer texto presente no início de uma mensagem na visualização de listagem, mesmo que tenha tamanho de fonte zero, o que infelizmente pode ser (mal) usado”, disse Kopriva.
“O texto ‘invisível’ no e-mail que foi entregue ao endereço de e-mail do nosso manipulador (…) não serviu ao propósito habitual – não se destinava a impedir que os scanners automatizados identificassem a mensagem como potencialmente fraudulenta/malicioso, mas, em vez disso, fazer com que a mensagem pareça mais confiável para o destinatário.”
Alguns phishers estão obviamente usando a técnica para tentar criar campanhas de phishing mais eficazes, portanto, de acordo com Kopriva, “talvez não seja uma má ideia mencioná-la em qualquer curso de conscientização sobre segurança voltado para phishing”.
FONTE: HELP NET SECURITY