Bilgisayar korsanları, spam filtrelerini atlamak ve kullanıcıları izlemek için CSS hileleri kullanır


Siber güvenlik uzmanları, bilgisayar korsanlarının spam filtrelerini aldatmak ve kullanıcı davranışını izlemek için basamaklı stil sayfalarını (CSS) nasıl kullandıklarını ortaya çıkardılar.

Bu sofistike teknik, kötü niyetli aktörlerin kullanıcı tercihleri ​​ve eylemleri hakkında bilgi edinirken radar altında kalmasını sağlar.

CSS’nin hem kaçırma hem de izleme için kötüye kullanılması, gizlilik ve güvenlik için önemli tehditler oluşturmaktadır.

CSS’nin kaçırma için kötüye kullanılması

Tehdit aktörleri, kaçınma tespiti için CSS’den yararlanmak için çeşitli yöntemler geliştirdiler.

Bu yöntemlerden biri, e-postalarda içeriği gizlemek için metin-teminat ve opaklık gibi CSS özelliklerinin kullanılmasını içerir.

Bu “gizli metin tuzlama” tekniği, saldırganların alıcılar tarafından görülemeyen ancak spam filtrelerini Talos Intelligence’ın raporuna göre meşru olarak yanlış sınıflandırması için kandırabilen alakasız metin veya kod eklemelerini sağlar.

Örneğin, metinten gelen özelliği büyük bir negatif değere (örneğin, -9999px) ayarlayarak, saldırganlar istenmeyen metni e -postanın görünür alanının çok ötesine taşıyabilir.

Bu gizli içerik, e -posta gövdesindeki meşru kelimeler arasına yerleştirilen anlamsız karakterleri içerebilir, bu da algılama motorlarının mesajın gerçek amacını tanımlamasını zorlaştırır.

Orijinal kelimeler arasında birkaç anlamsız karakter eklenen bir kimlik avı e -postası.Orijinal kelimeler arasında birkaç anlamsız karakter eklenen bir kimlik avı e -postası.
Orijinal kelimeler arasında birkaç anlamsız karakter eklenen bir kimlik avı e -postası.

Ek olarak, yazı tipi boyutunu son derece küçük bir değere veya şeffaf olarak metin rengine ayarlamak, gizli içeriğin insan gözleri için görünmez kalmasını sağlar.

Başka bir teknik, belirli öğeleri tamamen şeffaf hale getirmek için opaklık özelliğini kullanmayı içerir, böylece e -posta kodundaki varlıklarını korurken bunları görüşlerini saklamayı içerir.

Yukarıdaki kimlik avı e -postasının html kaynak snippet'iYukarıdaki kimlik avı e -postasının html kaynak snippet'i
Yukarıdaki kimlik avı e -postasının html kaynak snippet’i

Bu yaklaşım, spam filtrelerini aldatmak ve e -postanın daha az şüpheli görünmesini sağlamak için hem e -posta gövdesinde hem de ön başlık bölümlerinde kullanılabilir.

İzleme için CSS’nin kötüye kullanılması

Kaçınma filtrelerinin ötesinde, CSS, kullanıcıların eylemlerini ve tercihlerini izlemek için de kullanılıyor. CSS kuralları için müşterilerin değişen desteği, saldırganların alıcıların sistemlerini ve donanımını parmak izi yapmasını sağlar.

Bu, kimlik avı kampanyalarını veya pazarlama stratejilerini uyarlamak için kullanılabilecek değerli bilgiler sağlayarak ekran boyutlarının, çözünürlüklerin ve renk şemalarını algılamayı içerebilir.

Yukarıdaki e -postanın oluşturulan HTML eki.Yukarıdaki e -postanın oluşturulan HTML eki.
Yukarıdaki e -postanın oluşturulan HTML eki.

Bu izlemenin bir örneği, bir e-posta görüntülendiğinde veya yazdırıldığında kaydetmek için CSS Media AT-Trule’un kullanılmasını içerir.

Yukarıdaki spam e -postasının HTML kaynak snippet'i, alıcının eylemlerinin ve tercihlerinin nasıl izlendiğini gösterir.Yukarıdaki spam e -postasının HTML kaynak snippet'i, alıcının eylemlerinin ve tercihlerinin nasıl izlendiğini gösterir.
Yukarıdaki spam e -postasının HTML kaynak snippet’i, alıcının eylemlerinin ve tercihlerinin nasıl izlendiğini gösterir.

Saldırganlar, özel olayları günlüğe kaydeden (örneğin, e -posta belirli bir istemcide açıldığında) izleme görüntüleri veya URL’leri yerleştirerek kullanıcı etkileşimi ve tercihleri ​​hakkında ayrıntılı veri toplayabilir.

Bu bilgiler gelecekteki kampanyaları optimize etmek veya hedeflenen saldırıların etkinliğini artırmak için kullanılabilir.

Ayrıca, CSS, belirli yazı tiplerinin kullanılabilirliğine göre parmak izi işletim sistemleri için kullanılabilir.

CSS yazı tipi-yüz at-kuralının alıcının cihazının işletim sistemini parmak izlemek ve daha sonra belirli yazı tiplerinin kullanılabilirliğini kullanarak belirli içerikleri göstermek veya engellemek için nasıl kullanılabileceğini gösteren bir örnek HTML kod snippet.CSS yazı tipi-yüz at-kuralının alıcının cihazının işletim sistemini parmak izlemek ve daha sonra belirli yazı tiplerinin kullanılabilirliğini kullanarak belirli içerikleri göstermek veya engellemek için nasıl kullanılabileceğini gösteren bir örnek HTML kod snippet.
CSS yazı tipi-yüz at-kuralının alıcının cihazının işletim sistemini parmak izlemek ve daha sonra belirli yazı tiplerinin kullanılabilirliğini kullanarak belirli içerikleri göstermek veya engellemek için nasıl kullanılabileceğini gösteren bir örnek HTML kod snippet.

Örneğin, Windows’ta yaygın olan Segoe UI gibi bir yazı tipi ve Helvetica Neue mevcutsa (genellikle macOS’ta bulunursa) farklı stilleri uygulayan bir medya kuralı kullanarak, saldırganlar bir alıcının hangi işletim sistemini kullandığını belirleyebilir.

Bu bilgiler, kötü niyetli içeriği alıcının ortamına göre uyarlamak için kullanılabilir.

Hafifletme

Bu güvenlik ve gizlilik tehditlerini ele almak için birkaç azaltma stratejisi kullanılabilir:

  1. Gelişmiş filtreleme mekanizmaları: Gizli içeriği algılayan ve e -postaların hem metin hem de görsel özelliklerini analiz eden gelişmiş e -posta filtreleme sistemlerinin uygulanması kötü amaçlı mesajların tanımlanmasına yardımcı olabilir.
  2. E -posta Gizlilik Proxys: E -posta istemcileriyle Gizlilik Proxy’lerini kullanmak, uzak kaynakları izlemeyi ve veri URL’lerine dönüştürmeyi önlemek için CSS kurallarını yeniden yazarak kullanıcı gizliliğini etkili bir şekilde koruyabilir. Bu yaklaşım, e -posta içindeki stilleri sınırlar ve bilginin ortaya çıkmasını önler.
  3. Kullanıcı Farkındalığı: Kullanıcıları bu taktikler hakkında eğitmek ve istenmeyen e -postaları açarken uyanıklığı teşvik etmek de riski azaltmaya yardımcı olabilir.

CSS’nin hain amaçlar için sömürülmesi, siber tehditlerin gelişen doğasını vurgulamaktadır.

Saldırganlar yenilik yapmaya devam ettikçe, hem bireyler hem de kuruluşlar bu sofistike taktiklere karşı korunmak için bilgilendirilmeli ve sağlam güvenlik önlemleri uygulamalıdır.

Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.



Source link