Bilgisayar Korsanları, Gizli Metin Tuzlama Saldırılarında Kötü Amaçlı Kodu Gizlemek İçin CSS Özelliklerinden Yararlanıyor

   Ekim 8, 2025  Posted in GBHackers


ile font-size:1px Ve line-height:0yalnızca yazı tipi boyutu 20 piksele çıkarıldığında ortaya çıkar.

PayPal markasını taklit eden dolandırıcılık e-postası.PayPal markasını taklit eden dolandırıcılık e-postası.
PayPal markasını taklit eden dolandırıcılık e-postası.

Benzer şekilde, Harbour Freight kimlik avı e-postaları da gizli Fransız tuzunu içeriyordu. display:nonekafa karıştırıcı X-Forefront-Antispam-Report dil alanı.

Teknikler ve Örnekler

Cisco Talos, CSS’nin gizli metin tuzlaması amacıyla kötüye kullanımını üç içerik türü ve dört ekleme noktasına göre sınıflandırır. İçerik türleri rastgele karakterler, alakasız paragraflar ve HTML/JavaScript yorumlarından oluşur.

Norton LifeLock taklitlerinde görüldüğü gibi, karakterler genellikle marka adları arasına sıfır genişlikte boşluklar (ZWSP) veya birleştirici olmayanlar (ZWNJ) eklenir.

Yukarıdaki kimlik avı e-postasının ZWSP ve ZWNJ karakterlerini içeren HTML kaynak pasajı.Yukarıdaki kimlik avı e-postasının ZWSP ve ZWNJ karakterlerini içeren HTML kaynak pasajı.
Yukarıdaki kimlik avı e-postasının ZWSP ve ZWNJ karakterlerini içeren HTML kaynak pasajı.

Saldırganlar, statik analizi engellemek için HTML eklerindeki paragraf tuzuna Almanca ve Fince ifadeler yerleştirir. Başka bir kampanyada, kod çözmeyi zorlaştırmak için Base64 kodlu URL’lerin içine alakasız yorumlar serpiştirildi.

Bu tuzlar dört ana e-posta bölgesinde görünür: ön başlık, başlık, ekler ve gövde. Ön başlıklarda “Sadece size özel DÖRT nefis çorba tarifi!” gibi cazip ifadeler yer alıyordu. aracılığıyla gizlendi opacity:0, max-height:0Ve mso-hide:all tespit edilmeden tıklamaları teşvik etmek.

Yukarıdaki kimlik avı e-postasının, ön başlık metnine nasıl tuz eklendiğini gösteren HTML kaynak pasajı.Yukarıdaki kimlik avı e-postasının, ön başlık metnine nasıl tuz eklendiğini gösteren HTML kaynak pasajı.
Yukarıdaki kimlik avı e-postasının, ön başlık metnine nasıl tuz eklendiğini gösteren HTML kaynak pasajı.

Ekler, saldırganların Base64 verilerinin etrafına rastgele yorumlar ekledikleri HTML’deki tuzları taşır. Filtrelerden kaçınmak için ham anahtar kelimelerin arasına önemsiz karakterlerin serpiştirildiği gövde, en yaygın konum olmaya devam ediyor.

Saldırganlar ayrıca tuzu gizlemek için CSS özellik kategorilerini de manipüle eder. Metin özellikleri (font-size, color, line-height) arka planlarla harmanlamak için metni küçültün veya yeniden renklendirin.

Görünürlük ve görüntü özellikleri (display:none, visibility:hidden) öğeleri oluşturmadan kaldırın. Kırpma ve boyutlandırma (width:0, overflow:hidden) sıfır boyutlu kapların içindeki gizli metni kırpın.

Wells Fargo’nun kimlik avı örneğinde, anlamlı anahtar kelimeler global bir ağ kullanılarak tuzlandı. bdo seçici font-size:0LLM tabanlı savunmaların niyet sınıflandırması “Eylem Talep Et” yerine “Toplantı Planlama” olarak değiştiriliyor.

Azaltmalar

Savunmacılar ikili bir yaklaşım benimsemelidir: tespit ve filtreleme. Algılama çözümleri, CSS kullanım kalıplarını ve görsel tutarsızlıkları analiz etmek için basit metin ayrıştırmanın ötesine geçmelidir.

Talos, eklenen tuzu gizlemek için kullanılabilecek birkaç basit CSS özelliğini seçti; bunlar arasında “font-size: 0”, “opacity: 0”, “display: none”, “max-width: 0”, “max-height: 0”, “color: şeffaf”, “görünürlük: gizli”, “width: 0” veya “height: 0” yer alıyor. Daha sonra bu göstergeleri Cisco Secure ETD müşterileri tarafından yeniden sınıflandırılan e-postalarda aradık.

Spam ve amatör mesajlarda gizli içeriğin yaygınlığı.Spam ve amatör mesajlarda gizli içeriğin yaygınlığı.
Spam ve amatör mesajlarda gizli içeriğin yaygınlığı.

Gelişmiş filtreler, gizli içeriği tanımlamak ve işaretlemek için e-postanın bölümlerini (ön başlık, başlık, gövde, ekler) inceleyebilir. Görünmez kaplamaları tespit etmek için e-posta anlık görüntülerinin oluşturulması gibi görsel tabanlı analizlerin birleştirilmesi, görüntü tabanlı tehditleri engelleyebilir.

Kuruluşlar, anormal CSS verilerini işaretlerken meşru kullanımları tolere edecek politikalarda ince ayar yapmalıdır. Görsel, yapısal ve bağlamsal özellikleri dikkate alan yapay zeka odaklı, derin öğrenme modellerinin benimsenmesi, bu kaçamak taktiğe karşı dayanıklılığı önemli ölçüde artırabilir.

Filtreleme çözümleri, aşağı akış motorları mesajları işlemeden önce, HTML’yi alım sırasında temizlemeli, görünmez öğeleri çıkarmalı veya bunlardan kaçmalıdır. E-posta ağ geçitleri, gizli olarak tasarlanmış içerikleri yok saymak için bilgi istemi korumaları dağıtabilir.

Gizli metin tuzlama, spam ve kimlik avında meşru postaya göre çok daha yaygındır, ancak CSS’nin bazı zararsız kullanımları (duyarlı tasarım, izleme pikselleri) bu tekniklere benzemektedir.

Güvenlik ekipleri, gizli metin tuzlamasını tanıyıp etkisiz hale getirerek, e-posta savunmasının bütünlüğünü yeniden sağlayabilir ve saldırganların koruma katmanlarını aşmasını önleyebilir.

Proaktif temizlemeyle birlikte CSS’nin kötüye kullanımının sürekli izlenmesi, ortaya çıkan bu tehdide karşı koymada kritik öneme sahip olacaktır.

Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.



Source link