In acht nehmen! Phishing-E-Mail-Kampagne verwendet winzige Schriftarten, um den Schutz zu umgehen

Sicherheitsforscher von Avanan, einem Teil der CheckPoint Security-Familie, haben kürzlich eine Phishing-E-Mail-Kampagne entdeckt, die auf geschäftliche E-Mails abzielt. Die Phishing-E-Mails verwendeten eine neuartige Technik, um automatisierte Schutzfilter zu umgehen.

Avanan registrierte die Aktivität der Kampagne bereits im September 2021. Dieser besondere Versuch versuchte, Microsoft 365-Benutzerkonten zu kompromittieren und verwendete mehrere Methoden, um die bösartigen Komponenten der Nachrichten zu verschleiern.

Die Kampagne wurde vom Sicherheitsteam OnePoint genannt, da sie Textzeichenfolgen im Textkörper der E-Mails verbirgt, indem eine Schriftart verwendet wird, die als einzelnes Pixel pro Buchstabe auf dem Bildschirm wiedergegeben wird, wodurch sie praktisch unsichtbar wird.

Eine weitere Verschleierungstaktik, die in den Phishing-E-Mails verwendet wurde, bestand darin, bösartige Links in die CSS-Komponente der E-Mails zu verschachteln. Der Zweck dieser Art der Verschachtelung und Verschleierung besteht darin, dass es gelungen ist, natürliche Sprachfilter wie Microsofts eigene NLP- oder "Natural Language Processing"-Technologie zu verwirren.

Schädliche Links werden auch in die HTML-Font-Tags der Phishing-Kampagne in den E-Mails eingebettet. Dies dient außerdem dazu, den schädlichen Inhalt zu maskieren und die automatisierten Filter zu verwirren.

Das Unternehmen, das diese Kampagne im September 2021 entdeckt hat, hat vor drei Jahren auch eine ähnliche Kampagne entdeckt, als böswillige Schauspieler Null-Schriftarten verwendeten, die nie auf dem Bildschirm des Benutzers angezeigt wurden, nicht einmal als einzelne Pixelreihe.

Der Haken, der in der OnePoint- Phishing-Kampagne verwendet wird, ist eine gefälschte Nachricht „Ihr Passwort läuft bald ab". Das Opfer wird dann dazu verleitet, seine Zugangsdaten in gefälschte Login-Formulare einzugeben, die einfach die eingegebenen Login-Datenstrings zu den Servern der bösartigen Akteure leiten.

Als zusätzliche Verteidigung gegen ähnliche Angriffe, die neuartige Verschleierungstechniken verwenden, empfehlen Sicherheitsforscher die Verwendung einer sekundären, maschinell lernenden KI-Sicherheitsschicht, die über allen natürlichen Sprachfiltern hinzugefügt wird.