Investigadores de seguridad informaron que ciberdelincuentes estarían utilizando un nuevo método de ataque que consiste en, utilizar Fuentes de Punto Cero en los correos electrónicos para que los correos maliciosos parezcan seguros frente a las herramientas de seguridad de Microsoft Outlook. Esta metodología podría marcar una gran diferencia en la efectividad de las operaciones de phishing, motivo por el cual, los usuarios deben ser conscientes de su existencia y naturaleza.

Ataques de Fuente Cero

Este método de ataque, también conocido como ZeroFont, salió a la luz por primera vez en 2018 y, en base a los datos que se conocen hasta ahora, se trataría de una sofisticada técnica de phishing que explotaría fallas puntualmente en la forma en que la IA y los sistemas de procesamiento del lenguaje natural (NLP) analizan el texto en las plataformas de seguridad del correo electrónico. Básicamente, el ataque consiste en insertar palabras o caracteres ocultos en los correos electrónicos, configurando el tamaño de fuente en cero y logrando permanecer invisible ante los ojos humanos pero legible mediante algoritmos de (PNL), lo que serviría para evadir los filtros de seguridad de la plataforma, en este caso, la protección avanzada contra amenazas (ATP) de Office 365 de Microsoft.

En el siguiente ejemplo, se puede visualizar como un correo electrónico mostraba un mensaje diferente en la lista de correos de Outlook a diferencia del panel de vista previa. En el panel de lista de correo electrónico dice «Escaneado y protegido por Isc®Advanced Threat Protection (APT): 22/9/2023T6:42 AM», mientras que, el comienzo del correo electrónico en el panel de vista previa/lectura muestra «Trabajo Oferta | Oportunidad de Empleo.»

Mensaje de phishing malicioso (isc.sans.edu)

Esta discrepancia se logra aprovechando ZeroFont para ocultar el mensaje de análisis de seguridad falso al comienzo del correo electrónico de phishing, de modo que, aunque no sea visible para el destinatario, Outlook aún lo captura y lo muestra como una vista previa en el panel de lista de correo electrónico.

Ataque de fuente cero que oculta el mensaje de análisis antivirus
Fuente: ISC Sans

Los especialistas no descartan la posibilidad de que Outlook sea el único cliente de correo electrónico que toma la primera parte de un correo para obtener una vista previa del mensaje, sin comprobar si el tamaño de fuente es válido o no, por lo que se recomienda, ser sumamente cautelosos a la hora de usar otros tipos de software similares.

Fuente

https://www.bleepingcomputer.com/news/security/new-zerofont-phishing-tricks-outlook-into-showing-fake-av-scans/