Bilgisayar korsanları, kötü amaçlı e-postaların Microsoft Outlook’taki güvenlik araçları tarafından güvenli bir şekilde taranmış gibi görünmesini sağlamak için e-postalarda sıfır nokta yazı tiplerini kullanma gibi yeni bir numara kullanıyor.
ZeroFont kimlik avı tekniği geçmişte kullanılmış olsa da ilk kez bu şekilde kullanıldığı belgelendi.
ISC Sans analisti Jan Kopriva tarafından hazırlanan yeni bir raporda araştırmacı, bu numaranın kimlik avı operasyonlarının etkinliğinde büyük bir fark yaratabileceği ve kullanıcıların bunun varlığından ve vahşi ortamda kullanıldığından haberdar olması gerektiği konusunda uyarıyor.
ZeroFont saldırıları
İlk olarak Avanan tarafından 2018’de belgelenen ZeroFont saldırı yöntemi, e-posta güvenlik platformlarındaki yapay zeka ve doğal dil işleme (NLP) sistemlerinin metni analiz etme biçimindeki kusurlardan yararlanan bir kimlik avı tekniğidir.
Yazı tipi boyutunu sıfıra ayarlayarak e-postalara gizli kelimeler veya karakterler eklemeyi, metni insan hedefleri için görünmez hale getirmeyi ve aynı zamanda NLP algoritmaları tarafından okunabilir tutmayı içerir.
Bu saldırı, şüpheli görünür içerikle karışan görünmez iyi huylu terimler ekleyerek, yapay zekanın içeriği yorumlamasını ve güvenlik kontrollerinin sonuçlarını çarpıtarak güvenlik filtrelerinden kaçmayı amaçlamaktadır.
Avanan, 2018 raporunda, e-postalar bilinen kötü amaçlı anahtar kelimeler içerse bile ZeroFont’un Microsoft’un Office 365 Gelişmiş Tehdit Korumasını (ATP) atladığı konusunda uyardı.
Sahte antivirüs taramalarını gizleme
Kopriva tarafından görülen yeni bir kimlik avı e-postasında, bir tehdit aktörü, Microsoft Outlook gibi yaygın olarak kullanılan e-posta istemcilerindeki mesaj önizlemelerini değiştirmek için ZeroFont saldırısını kullanıyor.
Spesifik olarak, söz konusu e-posta, Outlook’un e-posta listesinde önizleme bölmesindekinden farklı bir mesaj görüntüledi.
Aşağıda görebileceğiniz gibi, e-posta liste bölmesinde “Isc®Gelişmiş Tehdit koruması (APT) tarafından tarandı ve güvence altına alındı: 9/22/2023T6:42 AM” ifadesi yer alırken, önizleme/okuma bölmesinde e-postanın başında “İş” görüntülenir Teklif | İstihdam Fırsatı.”
Bu tutarsızlık, kimlik avı e-postasının başlangıcındaki sahte güvenlik taraması mesajını gizlemek için ZeroFont’tan yararlanılarak elde edilir; böylece alıcı tarafından görülmese de Outlook onu yakalar ve e-posta listeleme bölmesinde bir önizleme olarak görüntüler.
Kaynak: ISC Sans
Amaç, alıcıya sahte bir meşruiyet ve güvenlik duygusu aşılamaktır.
Yanıltıcı bir güvenlik taraması mesajı sunularak hedefin mesajı açma ve içeriğiyle etkileşim kurma olasılığı artar.
Outlook’un, bir e-postanın ilk bölümünü yazı tipi boyutunun geçerli olup olmadığını kontrol etmeden önizlemek için alan tek e-posta istemcisi olmaması mümkündür; bu nedenle, diğer yazılım kullanıcılarının da dikkatli olması önerilir.