Cibercriminosos estão utilizando um novo truque de usar ZeroFont em e-mails para fazer com que e-mails maliciosos pareçam verificados com segurança pelas ferramentas de segurança do Microsoft Outlook. Embora a técnica de phishing ZeroFont tenha sido usada no passado, esta é a primeira vez que foi documentada como usada desta forma.
Num novo relatório do analista do ISC Sans, Jan Kopriva, o investigador alerta que este truque pode fazer uma enorme diferença na eficácia das operações de phishing, e os utilizadores devem estar cientes da sua existência e utilização na natureza.
Ataques ZeroFont
O método de ataque ZeroFont, documentado pela primeira vez por Avanan em 2018, é uma técnica de phishing que explora falhas na forma como os sistemas de IA e processamento de linguagem natural (PNL) em plataformas de segurança de e-mail analisam texto.
Envolve a inserção de palavras ou caracteres ocultos em e-mails, definindo o tamanho da fonte como zero, tornando o texto invisível para alvos humanos, mas mantendo-o legível por algoritmos de PNL. Este ataque visa escapar aos filtros de segurança, inserindo termos benignos invisíveis que se misturam com conteúdo visível suspeito, distorcendo a interpretação do conteúdo pela IA e o resultado das verificações de segurança.
Em seu relatório de 2018, a Avanan alertou que o ZeroFont contornou a Proteção Avançada contra Ameaças (ATP) do Office 365 da Microsoft, mesmo quando os e-mails continham palavras-chave maliciosas conhecidas.
Escondendo verificações antivírus falsas em e-mails Microsoft Outlook
Em um novo e-mail de phishing visto por Kopriva, um agente de ameaça usa o ataque ZeroFont para manipular visualizações de mensagens em clientes de e-mail amplamente utilizados, como o Microsoft Outlook. Especificamente, o e-mail em questão exibia uma mensagem diferente na lista de e-mail do Outlook e no painel de visualização.
Como você pode ver abaixo, o painel de listagem de e-mail diz “Verificado e protegido por Isc®Advanced Threat Protection (APT): 22/09/2023T6h42”, enquanto o início do e-mail no painel de visualização/leitura exibe “Trabalho Oferta | Oportunidade de Emprego.”
Essa discrepância é alcançada aproveitando o ZeroFont para ocultar a falsa mensagem de verificação de segurança no início do e-mail de phishing, de modo que, embora não seja visível para o destinatário, o Outlook ainda a captura e a exibe como uma visualização no painel de listagem de e-mail.
O objetivo é incutir uma falsa sensação de legitimidade e segurança no destinatário. Ao apresentar uma mensagem enganosa de verificação de segurança, aumenta a probabilidade de o alvo abrir a mensagem e interagir com seu conteúdo.
É possível que o Outlook não seja o único cliente de e-mail que captura a primeira parte de um e-mail para visualizar uma mensagem sem verificar se o tamanho da fonte é válido, portanto, é aconselhável vigilância também para usuários de outros softwares.