New ZeroFont phishing tricks Outlook into showing fake AV-scans
2023/0926 BleepingComputer — Microsoft Outlook のセキュリティ・ツールでスキャンが完了したように見せかけ、さらに Zero-Point フォントを電子メールに埋め込むという新たな手口が、ハッカーたちに用いられている。過去においても、Zero-Point フォントを用いるフィッシング・テクニックが使われていたが、このような使われ方が判明したのは、今回が初めてのことである。ISC Sans のアナリストである Jan Kopriva の最新レポートが警告するのは、この手口により、フィッシングの効果に生じる大きな変化の可能性である。したがってユーザーは、その存在と野放し状態での攻撃に注意すべきとしている。
ゼロフォント攻撃
2018年に Avanan により、初めて文書化された ZeroFont 攻撃手法とは、電子メール・セキュリティ・プラットフォームの AI/NLP (natural language processing) システムが、テキストを分析する方法の欠陥を悪用したフィッシング手法である。
つまり、フォントサイズを Zero に設定することで、電子メールに隠された単語や文字を挿入し、標的である人間からは見えないテキストを、NLP アルゴリズムでは読めるようにするものだ。
この攻撃は、目に見えない良性の単語を挿入し、疑わしい可視コンテンツと混在させることで、AI によるコンテンツの解釈とセキュリティ・チェックの結果を歪め、セキュリティ・フィルターを回避することを目的としている。
2018年のレポートで Avanan が、ZeroFont について警告していたのは、電子メールに既知の悪意のキーワードが含まれていても、Microsoft の Office 365 Advanced Threat Protection (ATP) を回避できるというものだった。
偽のウイルス対策スキャンを隠す
その一方で、Jan Kopriva が確認した新たなフィッシング・メールでは、ZeroFont 攻撃を用いる脅威アクターが、Microsoft Outlook などのメール・クライアントの、メッセージ・プレビューを操作していたという。具体的に言うと、問題のメールは、プレビュー・ペインとは異なるメッセージを、Outlook のメール・リストに表示していたことになる。
以下のように、メール・リスト・ペインには “Scanned and secured by Isc®Advanced Threat Protection (APT): 9/22/2023T6:42 AM” と表示されるのに対して、プレビューの読取りペインでは、メールの冒頭に “Job Offer | Employment Opportunity” と表示されている。
ZeroFont を悪用するフィッシング・メールの冒頭にある、偽のセキュリティ・スキャン・メッセージを隠すことで、この不一致は実現されている。そのため、受信者には見えないが、それを捕捉した Outlook により、メール・リスト・ペインにプレビューとして表示されてしまう。
Source: ISC Sans
その目的は、受信者に対して、誤った正当性と安全性の感覚を植え付けることである。
欺瞞的なセキュリティ・スキャン・メッセージを表示することで、標的によるメッセージ開封の確率が高まり、そのコンテンツに関与する可能性も高まる。
電子メール・クライアントは、フォント・サイズの有効性を確認することなく、電子メールの最初の部分を掴んでメッセージをプレビューする。この振る舞いは Outlook だけに限定されない可能性があるため、他のソフトウェアのユーザーも警戒が必要である。
なんとまぁ、サイズがゼロのフォントで、人には見えないメッセージを取り込み、それで AI/NLP を騙すという、新しい手口のフィッシングが発見されたようです。気をつけようにも、気をつけようのない攻撃に、誰もがさらされる世界に入ってしまいました。よろしければ、カテゴリ Scammer を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.