¡Tener cuidado! La campaña de phishing por correo electrónico utiliza fuentes diminutas para evitar la protección
Los investigadores de seguridad de Avanan, una parte de la familia CheckPoint Security, descubrieron una reciente campaña de correo electrónico de phishing dirigida a correos electrónicos comerciales. Los correos electrónicos de phishing utilizaban una técnica novedosa para sortear los filtros de protección automatizados.
Avanan registró la actividad de la campaña en septiembre de 2021. Este esfuerzo particular intentó comprometer las cuentas de usuario de Microsoft 365 y utilizó múltiples métodos para ofuscar los componentes maliciosos de los mensajes.
La campaña fue nombrada OnePoint por el equipo de seguridad debido a que oculta cadenas de texto en el cuerpo de los correos electrónicos, utilizando una fuente que se representa como un solo píxel por letra en la pantalla, lo que la hace prácticamente invisible.
Otra táctica de ofuscación utilizada en los correos electrónicos de phishing incluyó el anidamiento de enlaces maliciosos dentro del componente CSS de los correos electrónicos. El propósito de usar este tipo de anidamiento y ofuscación es que logró confundir los filtros de lenguaje natural, como la propia NLP de Microsoft o la tecnología de "procesamiento de lenguaje natural".
Los enlaces maliciosos también están incrustados dentro de las etiquetas de fuente HTML de la campaña de phishing en los correos electrónicos. Esto además sirve para enmascarar el contenido malicioso y confundir los filtros automatizados.
La empresa que detectó esta campaña de septiembre de 2021 también detectó una similar hace tres años, cuando los malos actores usaban fuentes de tamaño cero que nunca aparecen en la pantalla del usuario, ni siquiera como una sola fila de píxeles.
El gancho utilizado en la campaña de phishing de OnePoint es un mensaje falso de "su contraseña está a punto de caducar". Luego, la víctima es atraída a ingresar sus credenciales en formularios de inicio de sesión falsos que simplemente canalizan las cadenas de datos de inicio de sesión ingresadas a los servidores de los malos actores.
Como defensa adicional contra ataques similares que usan técnicas de ofuscación novedosas, los investigadores de seguridad recomiendan usar una capa secundaria de seguridad de inteligencia artificial de aprendizaje automático agregada sobre cualquier filtro de lenguaje natural.