Uma nova campanha personificando o Office 365 foi descoberta por investigadores da WMC Global Analysis. A landing-page tinha uma página de login legítima de uma conta da Microsoft, e utilizava inversão de cores para evitar software de padrões de correspondência via reconhecimento de imagem, de acordo com Kim Komando.
“As image recognition software is improving and becoming more accurate, this new technique aims to mislead scanning engines by inverting the colors of the image, causing the image hash to differ from the original.”, WMC Global explains.
Em detalhe, este método pode impedir que o software de deteção sinalize estas imagens, e consequente mente as landing-pages, como maliciosas (conforme mostrado nas imagens abaixo).
Uma vítima que visita o website provavelmente reconheceria que a imagem invertida é ilegítima e rapidamente sairia do website malicioso. No entanto, o agente da ameaça utiliza como resource uma imagem invertida e, dentro do código index.php, usou um método CSS para reverter a cor da imagem ao seu estado original durante a sua renderização pelo web-browsers.
Com esta nova técnica, os agentes de ameaça conseguem contornar os sistemas de deteção de phishing e malware com imagens invertidas, rodadas, etc., o que as torna irreconheciveis e que, por sua vez, faz os mecanismos de deteção errar durante a análise dessas imagens.
Esta abordagem carrega uma imagem inicialmente “desformatada” que é depois reconstruída on-the-fly via CSS quando ela é mostrada ao utilizador pelo navegador de Internet. Como grande parte dos mecanismos de segurança contra phishing olham para as imagens armazenadas no website e não para o seu estado final, isso faz com que o bypass aconteça e a campanha atingia um grande número de utilizadores.
Medidas gerias de prevenção contra ataques desta linha
- Evitar abrir e-mails de remetentes desconhecidos e sempre verifcar os campos de URLs e remetentes com atenção
- Evitar clicar em URLs dentro de emails
- Usar palavras-passe complexas e fortes sem incluir informações pessoais ou palavras comuns.
- Utilizar palavras-passe únicas por serviço/aplicação e evitar a sua reutilização; e
- Usar um antivírus ou um endpoint security products para minimizar o impacto de um ataque malicioso via phishing ou malscam.
One Reply to “Criminosos usam uma nova técnica de inversão de imagem para fazer bypass aos mecanismos de deteção do Office365”