Los atacantes utilizan Unicode y HTML para omitir el correo electrónico …



Los investigadores detectan a los ciberdelincuentes utilizando nuevas técnicas para ayudar a que los correos electrónicos de phishing maliciosos pasen por alto las herramientas de detección.

Se ha detectado a los ciberdelincuentes utilizando HTML / CSS y trucos Unicode para eludir las herramientas destinadas a bloquear correos electrónicos maliciosos, lo que marca un nuevo giro en las técnicas de phishing, informan investigadores de seguridad.

Los atacantes prueban continuamente los sistemas de seguridad empresarial y exploran nuevas formas de pasar. Algunos se basan en texto oculto y ataques de fuente cero, en el que colocan caracteres invisibles entre las letras de un correo electrónico para que no active las defensas del correo electrónico con frases como «contraseña caducada» u «Business 365». Estos correos electrónicos maliciosos parecen legítimos para cualquier usuario desprevenido.

La empresa de seguridad Inky notó un nuevo giro en esta técnica en la que los atacantes usan su conocimiento de HTML / CSS y Unicode para disfrazar correos electrónicos de phishing. La compañía comenzó a investigar cuando un cliente reportó un mensaje sospechoso disfrazado de un correo electrónico de «contraseña caducada» de Place of work 365. Los investigadores cargaron el texto sin procesar en el editor de texto Emacs y encontraron algunas características interesantes.

Uno de ellos es el «guión suave» Unicode, también conocido como «guión de sílabas». En la composición tipográfica, esto se usa para decirle al renderizador dónde romper una línea de manera segura e insertar un guión obvious. El guión suave normalmente se vuelve invisible sin embargo, aparecerá como un carácter Unicode para el computer software de seguridad que escanea los correos electrónicos en busca de contenido malicioso. Para una herramienta de seguridad, también puede ser una «X».

Cuando el equipo de Inky escaneó el correo electrónico malicioso en busca de frases como «cambia tu contraseña», no recibieron resultados porque el atacante había escrito frases como «c-h-a-n-g-e- -y-o-u-r- -p-a-s-s-w-o-r-d-«. Para un usuario, aparecen como normales a un escáner, es posible que no activen ninguna marca porque su configuración de coincidencia de patrones no está configurada para buscar este tipo de contenido.

«El hecho de que se vuelvan invisibles es una peculiaridad extraña de Unicode», dice Dave Baggett, fundador y director ejecutivo de Inky. «Claramente, el atacante sabe mucho sobre Unicode y está siendo bastante inteligente al crear esto». Señala que solo en este correo electrónico se incluyeron alrededor de 10 caracteres Unicode.

Esta no fue la única técnica nueva que se vio en este correo electrónico de phishing de Office 365, un tipo de mensaje malicioso que Baggett describe como «desenfrenado». Cuando el atacante escribió «Business office 365», por ejemplo, utilizó el código HTML para que parezca un logotipo. Este gran texto rojo en la esquina superior izquierda es común en el phishing de Office 365, dice, y la gente suele registrar el texto como un logotipo.

Los atacantes también utilizaron la configuración «show: none», un elemento de CSS que le dice al navegador que muestre el texto como invisible. El phisher cometió el error de colocar el texto que quería que el usuario viera dentro de un elemento span, aunque el CSS se escribió para representar los intervalos como ocultos. El atacante usó el truco del intervalo invisible para ocultar el texto repetido «40008» entre las palabras de la frase «Contraseña para el usuario (@) ejemplo (.) Com», un movimiento que Baggett dice que tenía la intención de ocultar el texto malicioso de las herramientas de seguridad.

«Si eres un desarrollador, es útil ocultar temporalmente las cosas para probar, pero aquí, lo están usando para hacer que cada intervalo &#39muestre: ninguno&#39, lo cual es muy extraño», señala. «Nunca harías esto en una página world-wide-web». Él plantea la hipótesis de que la thought era engañar a las herramientas de seguridad para que pensaran que el texto period visible.

El texto «40008» podría ser otra táctica para evitar la coincidencia de patrones en las herramientas de seguridad, agrega Baggett. Si se genera un número aleatorio para cada correo electrónico, hay menos posibilidades de que las herramientas los asocien con el mismo kit de phishing.

«Parece que alguien tomó una plantilla existente que había estado usando y la modificó para usar este nuevo truco», dice.

los técnica utilizada aquí es related a la esteganografía, o la práctica de ocultar mensajes subrepticios en el texto utilizando un espacio invisible o difícil de ver, explica Baggett. La esteganografía es otra técnica común entre los ciberdelincuentes que quieren ocultar texto malicioso. Un atacante también podría usar caracteres Unicode de ancho cero para transmitir mensajes de esta manera.

Un desafío para defenderse de esta técnica es que existen diferentes tipos de guiones suaves, señala. Al atacante le interesa utilizar varios caracteres Unicode únicos para sortear las defensas de seguridad sin embargo, cuantos más caracteres Unicode agregue una empresa a su herramienta de seguridad, más lenta será. Incluso si pudiera capturar todas las formas en que un atacante puede eludir las defensas, es posible que no necesariamente escale bien.

«Lo mejor para el atacante es utilizar más personajes», dice Baggett. «A SEG (Secure Email Gateway) le interesa tener menos caracteres en sus patrones de coincidencia».

Kelly Sheridan es la editora de personalized de Dim Examining, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique