Unicode & HTML: receita para burlar proteções de segurança em emails
Os pesquisadores identificam os cibercriminosos usando novas técnicas para ajudar os e-mails de phishing maliciosos a passarem pelas ferramentas de detecção.
Os cibercriminosos foram identificados usando truques de HTML / CSS e Unicode para contornar ferramentas destinadas a bloquear e-mails maliciosos, marcando uma nova reviravolta nas técnicas de phishing, relatam pesquisadores de segurança.
Os invasores testam continuamente os sistemas de segurança da empresa e exploram novas maneiras de passar. Alguns contam com texto oculto e ataques de fonte zero , nos quais colocam caracteres invisíveis entre as letras de um e-mail para não acionar defesas de e-mail com frases como “senha expirada” ou “Office 365”. Esses e-mails maliciosos parecem legítimos para qualquer usuário desavisado.
A empresa de segurança Inky notou uma nova reviravolta nesta técnica em que os invasores usam seu conhecimento de HTML / CSS e Unicode para disfarçar e-mails de phishing. A empresa começou a investigar quando um cliente relatou uma mensagem suspeita disfarçada como um e-mail de “senha expirada” do Office 365. Os pesquisadores carregaram o texto bruto no editor de texto Emacs e encontraram alguns traços interessantes.
Um deles é o “hífen suave” do Unicode, também conhecido como “hífen de sílaba”. Na composição, isso é usado para dizer ao renderizador onde quebrar uma linha com segurança e inserir um hífen visível. O hífen suave normalmente é processado como invisível; no entanto, ele aparecerá como um caractere Unicode para software de segurança que verifica e-mails em busca de conteúdo malicioso. Para uma ferramenta de segurança, pode muito bem ser um “X”.
Quando a equipe do Inky varreu o e-mail malicioso em busca de frases como “altere sua senha”, eles não receberam os resultados porque o invasor havia escrito frases como “altere-sua- -senha-“. Para um usuário, eles aparecem como normais; para um scanner, eles podem não levantar nenhum sinalizador porque suas configurações de correspondência de padrões não estão configuradas para procurar esse tipo de conteúdo.
“O fato de eles serem invisíveis é uma peculiaridade estranha do Unicode”, diz Dave Baggett, fundador e CEO da Inky. “Claramente, o invasor sabe muito sobre Unicode e está sendo muito inteligente ao criar isso.” Ele observa que havia cerca de 10 caracteres Unicode incluídos apenas neste e-mail.
Essa não foi a única nova técnica vista neste e-mail de phishing do Office 365 , um tipo de mensagem maliciosa que Baggett descreve como “desenfreada”. Quando o invasor digitou “Office 365”, por exemplo, eles usaram o HTML <font> para fazer com que parecesse um logotipo. Esse grande texto vermelho no canto superior esquerdo é comum no phishing do Office 365, diz ele, e as pessoas costumam registrar o texto como um logotipo.
Os invasores também usaram a configuração “display: none”, um elemento do CSS que informa ao navegador para renderizar o texto como invisível. O phisher cometeu o erro de colocar o texto que queria que o usuário visse em um elemento span, embora o CSS tenha sido escrito para renderizar spans como ocultos. O invasor usou o truque da extensão invisível para ocultar o texto repetido “40008” entre as palavras da frase “Senha para o usuário [@] exemplo [.] Com”, uma ação que Baggett diz que tinha como objetivo ocultar o texto malicioso das ferramentas de segurança.
“Se você é um desenvolvedor, é útil ocultar temporariamente as coisas para testar, mas aqui, eles estão usando para fazer com que cada intervalo ‘exiba: nenhum’, o que é muito estranho”, observa ele. “Você nunca faria isso em uma página da web.” Ele supõe que a ideia era enganar as ferramentas de segurança fazendo-as pensar que o texto era visível.
O texto “40008” pode ser outra tática para contornar a correspondência de padrões nas ferramentas de segurança, acrescenta Baggett. Se houver um número aleatório gerado para cada e-mail, haverá menos chance de as ferramentas associá-los ao mesmo kit de phishing.
“Parece que alguém pegou um modelo existente que estava usando e o modificou para usar esse novo truque”, diz ele.
A técnica usada aqui é semelhante à esteganografia , ou a prática de esconder mensagens sub-reptícias em texto usando espaço invisível ou difícil de ver, explica Baggett. A esteganografia é outra técnica comum entre os cibercriminosos que desejam ocultar textos maliciosos. Um invasor também pode usar caracteres Unicode de largura zero para transmitir mensagens dessa maneira.
Um desafio na defesa contra essa técnica é que existem diferentes tipos de hifens suaves, ele destaca. É do interesse do invasor usar vários caracteres Unicode exclusivos para escapar das defesas de segurança; entretanto, quanto mais caracteres Unicode uma empresa adicionar à sua ferramenta de segurança, mais lenta ela será. Mesmo se você pudesse capturar todas as maneiras pelas quais um invasor pode contornar as defesas, isso não necessariamente escalaria bem.
“É do interesse do atacante usar mais personagens”, diz Baggett. “É do interesse do SEG [Secure Email Gateway] ter menos caracteres em seus padrões de correspondência.”