Novos truques de phishing ZeroFont enganam o Outlook para mostrar falsos exames de antivírus
27 de Setembro de 2023

Hackers estão utilizando uma nova estratégia de usar fontes de ponto zero em e-mails para fazer com que e-mails maliciosos pareçam ter sido seguramente escaneados por ferramentas de segurança no Microsoft Outlook.

Embora a técnica de phishing ZeroFont já tenha sido usada no passado, esta é a primeira vez que ela é documentada sendo usada dessa maneira.

Em um novo relatório do analista da ISC Sans, Jan Kopriva, o pesquisador adverte que este truque poderia fazer uma grande diferença na eficácia das operações de phishing, e os usuários devem estar cientes de sua existência e uso no campo.

O método de ataque ZeroFont, primeiramente documentado pela Avanan em 2018, é uma técnica de phishing que explora falhas em como os sistemas de IA e processamento de linguagem natural (NLP) em plataformas de segurança de e-mail analisam texto.

Ele envolve a inserção de palavras ou caracteres ocultos em e-mails, definindo o tamanho da fonte como zero, tornando o texto invisível para os alvos humanos, mas ainda legível para algoritmos de NLP.

Este ataque visa evadir filtros de segurança, inserindo termos benignos invisíveis que se misturam com conteúdo visível suspeito, distorcendo a interpretação da IA do conteúdo e o resultado das verificações de segurança.

Em seu relatório de 2018, a Avanan advertiu que ZeroFont contornou a Proteção Avançada contra Ameaças (ATP) do Office 365 da Microsoft, mesmo quando os e-mails continham palavras-chave maliciosas conhecidas.

Em um novo e-mail de phishing visto por Kopriva, um ator de ameaça usa o ataque ZeroFont para manipular visualizações de mensagens em clientes de e-mail amplamente utilizados, como o Microsoft Outlook.

Especificamente, o e-mail em questão exibia uma mensagem diferente na lista de e-mails do Outlook do que no painel de visualização.

Conforme você pode ver abaixo, o painel de listagem de e-mails lê "Escaneado e protegido pela Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM", enquanto o início do e-mail no painel de visualização/leitura exibe "Oferta de Emprego | Oportunidade de Emprego".

Essa discrepância é obtida ao usar ZeroFont para ocultar a mensagem falsa de verificação de segurança no início do e-mail de phishing, então embora não seja visível para o destinatário, o Outlook ainda a captura e a exibe como uma visualização no painel de listagem de e-mails.

O objetivo é incutir uma falsa sensação de legitimidade e segurança no destinatário.

Ao apresentar uma mensagem enganosa de verificação de segurança, a probabilidade de o alvo abrir a mensagem e se engajar com seu conteúdo aumenta.

É possível que o Outlook não seja o único cliente de e-mail que captura a primeira parte de um e-mail para visualizar uma mensagem sem verificar se o tamanho de sua fonte é válido, então a vigilância é aconselhada para os usuários de outros softwares também.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...