HomeIT NewsВи ніколи не повірите, як ZeroFont обманює Outlook за допомогою підробленого сканування вірусів!
IT News

Ви ніколи не повірите, як ZeroFont обманює Outlook за допомогою підробленого сканування вірусів!

By Jean-Luc Pircard , on 16 Лютого, 2024 , updated on 16 Лютого, 2024 — Outlook, хакерство - 1 minute to read
Notez-moi

Microsoft Outlook

Хакери використовують новий трюк із використанням шрифтів нульового розміру в електронних листах, щоб створити враження, що ці шкідливі листи безпечно проскановано засобами безпеки Microsoft Outlook.

Хоча техніку фішингу ZeroFont використовували в минулому, це перший раз, коли вона була задокументована в такому вигляді.

У новому звіті аналітика Яна Копріви з ISC Sans дослідник попереджає, що цей трюк може значно змінити ефективність фішингових операцій. Користувачі повинні знати про його існування та використання.

Атаки ZeroFont

Метод атаки ZeroFont, вперше задокументований Avanan у 2018 році, є технікою фішингу, яка використовує недоліки в тому, як системи штучного інтелекту та обробки природної мови (NLP) електронних листів платформ безпеки аналізують текст.

Це передбачає вставлення прихованих слів або символів у електронні листи шляхом встановлення нульового розміру шрифту, роблячи текст невидимим для одержувачів, але залишаючи його читабельним алгоритмами NLP.

Ця атака має на меті обійти фільтри безпеки, вставляючи нешкідливі невидимі терміни, які змішуються з підозрілим видимим вмістом, спотворюючи інтерпретацію ШІ вмісту та результати перевірок безпеки.

У своєму звіті за 2018 рік Аванан попередив, що ZeroFont обійшов Microsoft Office 365 Advanced Threat Protection (ATP), навіть якщо електронні листи містили відомі шкідливі ключові слова.

Приховати підроблені сканування вірусів

У новому фішинговому листі, який спостерігав Kopriva, зловмисник використовує атаку ZeroFont, щоб маніпулювати попереднім переглядом повідомлень у широко використовуваних клієнтах електронної пошти, таких як Microsoft Outlook.

Зокрема, електронний лист, про який йде мова, відображає інше повідомлення в списку електронних листів Outlook, ніж на панелі попереднього перегляду.

Як ви можете бачити нижче, на панелі списку електронних листів написано «Відскановано та захищено Isc®Advanced Threat protection (APT): 9/22/2023T6:42 AM», тоді як на початку електронного листа на панелі попереднього перегляду відображається «Вакансія Пропозиція | Можливість працевлаштування».

Зловмисне фішингове повідомлення
Зловмисне фішингове повідомлення (isc.sans.edu)

Ця різниця досягається за допомогою ZeroFont, щоб приховати підроблене повідомлення перевірки безпеки на початку фішингового електронного листа, тому воно не видно одержувачу, але Outlook все одно підбирає його та відображає як попередній перегляд на панелі списку електронних листів.

Атака з нульовим шрифтом приховує повідомлення антивірусного сканування
Атака нульового розміру шрифту приховує повідомлення сканування на віруси
Джерело: ISC Sans

Мета полягає в тому, щоб прищепити одержувачу помилкове відчуття легітимності та безпеки.

A LIRE  Скандал у Hawai'i Community College: вони платять банді викрадачів за захист їхніх конфіденційних даних!

Представляючи оманливе повідомлення перевірки безпеки, підвищується ймовірність того, що ціль відкриє повідомлення та взаємодіє з його вмістом.

Outlook може бути не єдиним клієнтом електронної пошти, який отримує першу частину електронного листа для попереднього перегляду повідомлення без перевірки правильності розміру шрифту, тому користувачам іншого програмного забезпечення також рекомендується бути пильними.

Джерело нашої інформації

Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.