Les attaquants utilisent Unicode et HTML pour contourner les outils de sécurité de messagerie

Non classé

Des cybercriminels ont été repérés en utilisant des astuces HTML / CSS et Unicode pour contourner les outils destinés à bloquer les e-mails malveillants, marquant une nouvelle tournure dans les techniques de phishing, rapportent des chercheurs en sécurité.

Les attaquants testent en permanence les systèmes de sécurité de l’entreprise et explorent de nouvelles façons de passer. Certains s’appuient sur des attaques de texte caché et de police zéro, dans lesquelles ils placent des caractères invisibles entre les lettres d’un e-mail afin de ne pas déclencher de défense par e-mail avec des expressions telles que «mot de passe expiré» ou «Office 365». Ces e-mails malveillants semblent légitimes à tout utilisateur sans méfiance.

La société de sécurité Inky a remarqué une nouvelle tournure de cette technique dans laquelle les attaquants utilisent leurs connaissances en HTML / CSS et Unicode pour masquer les e-mails de phishing. L’entreprise a commencé à enquêter lorsqu’un client a signalé un message suspect déguisé en e-mail «mot de passe expiré» d’Office 365. Les chercheurs ont chargé le texte brut dans l’éditeur de texte Emacs et ont trouvé quelques traits intéressants.

L’un d’eux est le «trait d’union souple» Unicode, également appelé «trait d’union de syllabe». Dans la composition, ceci est utilisé pour indiquer au moteur de rendu où couper une ligne en toute sécurité et insérer un trait d’union visible. Le trait d’union souple est normalement rendu invisible; cependant, il apparaîtra comme un caractère Unicode pour le logiciel de sécurité qui analyse les e-mails à la recherche de contenu malveillant. Pour un outil de sécurité, cela peut aussi bien être un «X».

Lorsque l’équipe d’Inky a analysé l’e-mail malveillant à la recherche d’expressions telles que «changez votre mot de passe», elle n’a pas reçu de résultats car l’attaquant avait écrit des phrases telles que «c-h-a-n-g-e- -y-o-u-r- -p-a-s-s-w-o-r-d-». Pour un utilisateur, ils apparaissent comme normaux; à un scanner, ils ne peuvent pas déclencher d’indicateur car ses paramètres de correspondance de modèle ne sont pas configurés pour rechercher ce type de contenu.

«Le fait qu’ils deviennent invisibles est cette étrange bizarrerie d’Unicode», déclare Dave Baggett, fondateur et PDG d’Inky. « De toute évidence, l’attaquant en sait beaucoup sur Unicode et est assez intelligent pour le fabriquer. » Il note qu’il y avait environ 10 caractères Unicode inclus dans ce seul e-mail.

Ce n’était pas la seule nouvelle technique vue dans cet e-mail de phishing Office 365, un type de message malveillant que Baggett décrit comme «rampant». Lorsque l’attaquant a tapé «Office 365», par exemple, il a utilisé le HTML pour le faire ressembler à un logotype. Ce gros texte rouge dans le coin supérieur gauche est courant dans le phishing Office 365, dit-il, et les gens enregistrent souvent le texte en tant que logo.

Les attaquants ont également utilisé le paramètre «display: none», un élément de CSS qui indique à un navigateur de rendre le texte invisible. Le phisher a commis l’erreur de placer le texte qu’il voulait que l’utilisateur voie dans un élément span, même si le CSS a été écrit pour rendre les travées cachées. L’attaquant a utilisé l’astuce de l’étendue invisible pour masquer le texte répétitif «40008» entre les mots de l’expression «Mot de passe de l’utilisateur [@] exemple [.] Com», un mouvement selon Baggett visant à masquer le texte malveillant des outils de sécurité.

« Si vous êtes un développeur, il est utile de masquer temporairement les éléments à tester, mais ici, ils l’utilisent pour que chaque span » affiche: aucun « , ce qui est très étrange », note-t-il. « Vous ne feriez jamais ça sur une page Web. » Il émet l’hypothèse que l’idée était de tromper les outils de sécurité en leur faisant croire que le texte était visible.

Le texte « 40008 » pourrait être une autre tactique pour contourner la correspondance de motifs dans les outils de sécurité, ajoute Baggett. S’il y a un nombre aléatoire généré pour chaque e-mail, il y a moins de chances que les outils les associent au même kit de phishing.

«On dirait que quelqu’un a pris un modèle existant qu’il utilisait et l’a modifié pour utiliser cette nouvelle astuce», dit-il.

La technique utilisée ici est similaire à la stéganographie, ou à la pratique de cacher des messages clandestins dans du texte en utilisant un espace invisible ou difficile à voir, explique Baggett. La stéganographie est une autre technique courante chez les cybercriminels qui souhaitent dissimuler du texte malveillant. Un attaquant pourrait également utiliser des caractères Unicode de largeur nulle pour transmettre des messages de cette manière.

Un défi pour se défendre contre cette technique est qu’il existe différents types de tirets souples, souligne-t-il. Il est dans l’intérêt de l’attaquant d’utiliser plusieurs caractères Unicode uniques pour échapper aux défenses de sécurité; cependant, plus une entreprise ajoute de caractères Unicode à son outil de sécurité, plus elle sera lente. Même si vous pouviez capturer toutes les façons dont un attaquant peut contourner les défenses, il ne peut pas nécessairement évoluer correctement.

«Il est dans l’intérêt de l’attaquant d’utiliser plus de personnages», déclare Baggett. « Il est dans l’intérêt du SEG [Secure Email Gateway] d’avoir moins de caractères dans leurs modèles de correspondance. »

Source de l’article : https://www.darkreading.com/attacks-breaches/attackers-use-unicode-and-html-to-bypass-email-security-tools/d/d-id/1338739?_mc=NL_DR_EDT_DR_daily_20200825&cid=NL_DR_EDT_DR_daily_20200825&elq_mid=99138&elq_cid=27652222

Laisser un commentaire

Résoudre : *
3 × 15 =