Les pirates utilisent une nouvelle astuce consistant à utiliser des polices de point zéro dans les e-mails pour que les e-mails malveillants apparaissent comme analysés en toute sécurité par les outils de sécurité de Microsoft Outlook.

Bien que la technique de phishing ZeroFont ait été utilisée dans le passé, c’est la première fois qu’elle est documentée comme étant utilisée de cette manière.

Dans un nouveau rapport de Jan Kopriva, analyste chez ISC Sans, le chercheur prévient que cette astuce pourrait faire une énorme différence dans l’efficacité des opérations de phishing, et que les utilisateurs devraient être conscients de son existence et de son utilisation dans la nature.

Attaques ZeroFont

La méthode d’attaque ZeroFont, documentée pour la première fois par Avanan en 2018est une technique de phishing qui exploite les failles dans la façon dont les systèmes d’IA et de traitement du langage naturel (NLP) des plateformes de sécurité de messagerie analysent le texte.

Cela consiste à insérer des mots ou des caractères cachés dans les e-mails en définissant la taille de la police sur zéro, rendant le texte invisible aux cibles humaines, tout en le gardant lisible par les algorithmes NLP.

Cette attaque vise à échapper aux filtres de sécurité en insérant des termes bénins invisibles qui se mélangent à du contenu visible suspect, faussant ainsi l’interprétation du contenu par l’IA et le résultat des contrôles de sécurité.

Dans son rapport de 2018, Avanan a averti que ZeroFont contournait la protection avancée contre les menaces (ATP) d’Office 365 de Microsoft, même lorsque les e-mails contenaient des mots clés malveillants connus.

Cacher les fausses analyses antivirus

Dans un nouveau email de phishing vu par Koprivaun acteur malveillant utilise l’attaque ZeroFont pour manipuler les aperçus des messages sur des clients de messagerie largement utilisés tels que Microsoft Outlook.

Plus précisément, l’e-mail en question affichait un message différent dans la liste de diffusion d’Outlook que dans le volet d’aperçu.

Comme vous pouvez le voir ci-dessous, le volet de liste d’e-mails indique « Analysé et sécurisé par Isc®Advanced Threat protection (APT) : 9/22/2023T6:42 AM », tandis que le début de l’e-mail dans le volet d’aperçu/lecture affiche « Job Offre | Opportunité d’emploi. »

Cet écart est obtenu en exploitant ZeroFont pour masquer le faux message d’analyse de sécurité au début de l’e-mail de phishing. Ainsi, même s’il n’est pas visible pour le destinataire, Outlook le récupère et l’affiche sous forme d’aperçu dans le volet de liste d’e-mails.

L’objectif est d’inculquer un faux sentiment de légitimité et de sécurité chez le destinataire.

En présentant un message d’analyse de sécurité trompeur, la probabilité que la cible ouvre le message et interagisse avec son contenu augmente.

Il est possible qu’Outlook ne soit pas le seul client de messagerie à récupérer la première partie d’un e-mail pour prévisualiser un message sans vérifier si sa taille de police est valide. La vigilance est donc également recommandée aux utilisateurs d’autres logiciels.