注意してください！フィッシングメールキャンペーンでは、小さなフォントを使用して保護を回避しています

CheckPoint Securityファミリーの一部であるAvananのセキュリティ研究者は、ビジネスメールを標的とした最近のフィッシングメールキャンペーンを発見しました。フィッシングメールは、自動保護フィルターを回避するために新しい技術を使用していました。

Avananは、2021年9月にキャンペーンの活動を登録しました。この特定の取り組みは、Microsoft 365ユーザーアカウントを侵害しようとし、複数の方法を使用してメッセージの悪意のあるコンポーネントを難読化しました。

キャンペーンは、画面上で文字ごとに1ピクセルとしてレンダリングされるフォントを使用して、電子メールの本文のテキスト文字列を非表示にし、事実上非表示にするという事実から、セキュリティチームによってOnePointと名付けられました。

フィッシングメールで使用される別の難読化戦術には、メールのCSSコンポーネント内に悪意のあるリンクをネストすることが含まれていました。この種のネストと難読化を使用する目的は、Microsoft独自のNLPや「自然言語処理」テクノロジなどの自然言語フィルタを混乱させることに成功したことです。

悪意のあるリンクも、電子メールのフィッシングキャンペーンのHTMLフォントタグ内に埋め込まれています。これはさらに、悪意のあるコンテンツをマスクし、自動フィルターを混乱させるのに役立ちます。

この2021年9月のキャンペーンを検出した会社も、3年前に同様のキャンペーンを発見しました。悪意のある人物が、1行のピクセルとしても、ユーザーの画面に表示されないゼロサイズのフォントを使用していたときです。

OnePointフィッシングキャンペーンで使用されるフックは、偽の「パスワードの有効期限が近づいています」というメッセージです。次に、被害者は、入力されたログインデータ文字列を悪意のある攻撃者のサーバーに送るだけの偽のログインフォームに自分の資格情報を入力するように誘惑されます。

新しい難読化手法を使用する同様の攻撃に対する追加の防御策として、セキュリティ研究者は、自然言語フィルターの上に追加されたセキュリティの二次的な機械学習AIレイヤーを使用することを推奨しています。