Il faut se méfier! La campagne d'e-mails de phishing utilise de minuscules polices pour contourner la protection
Les chercheurs en sécurité d'Avanan, qui fait partie de la famille CheckPoint Security, ont découvert une récente campagne d'e-mails de phishing ciblant les e-mails professionnels. Les e-mails de phishing utilisaient une nouvelle technique pour contourner les filtres de protection automatisés.
Avanan a enregistré l'activité de la campagne en septembre 2021. Cet effort particulier a tenté de compromettre les comptes d'utilisateurs Microsoft 365 et a utilisé plusieurs méthodes pour masquer les composants malveillants des messages.
La campagne a été nommée OnePoint par l'équipe de sécurité en raison du fait qu'elle cache des chaînes de texte dans le corps des e-mails, en utilisant une police qui est rendue sous la forme d'un seul pixel par lettre à l'écran, la rendant pratiquement invisible.
Une autre tactique d'obscurcissement utilisée dans les e-mails de phishing comprenait l'imbrication de liens malveillants dans le composant CSS des e-mails. Le but de l'utilisation de ce type d'imbrication et d'obscurcissement est qu'il a réussi à confondre les filtres de langage naturel, tels que la technologie NLP ou de "traitement du langage naturel" de Microsoft.
Des liens malveillants sont également intégrés dans les balises de police HTML de la campagne de phishing dans les e-mails. Cela sert en outre à masquer le contenu malveillant et à embrouiller les filtres automatisés.
L'entreprise qui a détecté cette campagne de septembre 2021 en a également repéré une similaire il y a trois ans, lorsque de mauvais acteurs utilisaient des polices de taille zéro qui n'apparaissaient jamais sur l'écran de l'utilisateur, même pas sous la forme d'une seule rangée de pixels.
Le crochet utilisé dans la campagne de phishing OnePoint est un faux message « votre mot de passe est sur le point d'expirer ». La victime est ensuite amenée à saisir ses informations d'identification dans de faux formulaires de connexion qui canalisent simplement les chaînes de données de connexion saisies vers les serveurs des mauvais acteurs.
En tant que défense supplémentaire contre des attaques similaires qui utilisent de nouvelles techniques d'obscurcissement, les chercheurs en sécurité recommandent d'utiliser une couche de sécurité d'IA d'apprentissage automatique secondaire ajoutée à tous les filtres de langage naturel.