São Paulo — InkDesign News —

Pesquisadores de segurança alertam que atacantes estão abusando de Cascading Style Sheets (CSS) para inserir texto e caracteres ocultos em emails, uma tática projetada para contornar filtros e permitir que spam e outras mensagens maliciosas passem pelas defesas de segurança das empresas.

Vetor de ataque

A técnica, conhecida como “salting” de texto oculto, envolve a adição de conteúdo irrelevante em emails, que é visualmente indetectável para os usuários. Isso inclui caracteres aleatórios, parágrafos sem sentido e comentários ocultos que confundem as ferramentas de filtragem de email. Profissionais de segurança da Cisco Talos observaram um aumento no uso dessa tática por atores de ameaças nos últimos meses.

Impacto e resposta

De acordo com um post no blog da Cisco Talos, “O salting de texto oculto (ou ‘envenenamento’) é uma técnica eficaz empregada por atores de ameaças para elaborar emails que podem evadir parsers, confundir filtros de spam e contornar sistemas de detecção que dependem de palavras-chave.” (

“O salting de texto oculto (ou ‘envenenamento’) é uma técnica eficaz empregada por atores de ameaças para elaborar emails que podem evadir parsers, confundir filtros de spam e contornar sistemas de detecção que dependem de palavras-chave.“
(“Hidden text salting (or ‘poisoning’) is an effective technique employed by threat actors to craft emails that can evade parsers, confuse spam filters, and bypass detection systems that rely on keywords.”)

— Cisco Talos

)

Actores de ameaça utilizam propriedades CSS, como “opacity,” para tornar texto completamente invisível ao leitor, dificultando a detecção. Um exemplo destacado pela Cisco incluiu um email de phishing que se passava pela Blue Cross Blue Shield, onde a mensagem utilizava um texto que parecia inocente, mas escondia intenções maliciosas.

Análise e recomendações

A Cisco recomenda a utilização de mecanismos de filtragem sofisticados para detectar conteúdos ocultos em emails. As organizações podem implementar a sanitização de HTML ao ingressar, para remover texto invisível antes que chegue a motores de detecção, ou usar filtros em gateways de email para ignorar conteúdo visualmente oculto.

A quantidade de conteúdo oculto necessário para enganar mecanismos de segurança pode variar. “Normalmente, texto oculto é adicionado a palavras-chave muito importantes como ‘resete sua senha’ ou strings codificadas para evitar a detecção,” comenta um porta-voz.

Com a crescente utilização dessa técnica, espera-se que as medidas de mitigação continuem a evoluir, o que poderá ter um impacto significativo na eficácia das defesas cibernéticas nos próximos meses.

Fonte: (Dark Reading – Segurança Cibernética)