威胁行为者利用CSS绕过垃圾邮件过滤器和检测引擎,并追踪用户的行为和偏好。
Cisco Talos 观察到,威胁行为者滥用CSS来逃避检测并追踪用户行为,这引发了安全和隐私方面的担忧,其中包括潜在的指纹识别风险。
CSS是一种样式表语言,用于控制网页的外观和布局。它为 HTML 元素定义样式,包括颜色、字体、间距和位置。CSS 有助于将内容与设计分离,使开发者能够创建视觉效果吸引人且响应式的网站。它还支持动画和主题,并与 HTML 和 JavaScript 协同工作以提升网络体验。
Cisco Talos 发布的公告中写道:“CSS 的可用功能使攻击者和垃圾邮件发送者能够追踪用户的行为和偏好,尽管与网络浏览器相比,电子邮件客户端中与动态内容相关的一些功能(例如 JavaScript)受到限制。接下来,我们将提供在实际中发现的 CSS 滥用示例,包括逃避检测和追踪用户的情况。这些示例均是在 2024 年下半年至 2025 年 2 月期间观察到的。”
威胁行为者利用 HTML 和 CSS 功能隐藏电子邮件中的内容以逃避检测。他们使用诸如 text-indent(文本缩进)等 CSS 属性,在绕过安全解析器的同时,向受害者隐藏网络钓鱼文本。
专家观察到攻击者将 text-indent 属性设置为 – 9999px,当在电子邮件客户端中打开邮件时,将文本移出可见区域很远。攻击者还将 font-size(字体大小)属性设置为极小的值,使得在大多数屏幕上收件人几乎看不到文本。
此外,专家注意到使用 color transparent(透明颜色)将文本与背景融合从而使其不可见。威胁行为者也可能使用 opacity(不透明度)属性隐藏相关内容的部分。
以下网络钓鱼邮件冒充 Blue Cross Blue Shield 组织。
报告继续指出:“仔细检查上述电子邮件的 HTML 源代码会发现,在邮件正文和邮件预标题中都有多次隐藏内容的尝试。攻击者将 CSS 的 opacity 属性设置为零,使元素完全透明不可见。请注意,此预标题文本通过依赖多种 CSS 属性(包括 color、height、max-height 和 max-width )保持隐藏。此外,mso-hide 属性设置为 all,以使预标题在 Outlook 电子邮件客户端中也不可见。还要注意,不可见的预标题文本完全不相关,且看起来无害(例如 “FOUR yummy soup recipes just for you!”),从而使其对垃圾邮件过滤器而言不那么可疑。”
Talos 警告称,威胁行为者还可以通过使用 @media atrule 追踪用户行为并进行指纹识别攻击。通过这种手段,他们可以收集有关收件人的字体和颜色偏好、语言设置以及查看或打印电子邮件等行为的数据。垃圾邮件发送者还可以使用 CSS 属性,通过检测屏幕尺寸、分辨率和颜色深度来对用户、他们的电子邮件客户端和系统进行指纹识别。
先进的过滤机制有助于检测电子邮件中隐藏的文本加盐和内容隐藏情况,而分析视觉特征可以提高对基于图像的威胁的检测能力。在隐私方面,电子邮件隐私代理可以通过将顶级 CSS 规则转换为样式属性并将远程资源嵌入为数据 URL 来重写电子邮件,从而增强安全性,防止追踪和数据泄露。
报告总结道:“CSS 提供的功能、规则和属性可能会被攻击者滥用,以逃避垃圾邮件过滤器和检测引擎,以及追踪或识别用户及其设备的指纹。因此,您的组织和企业的安全和隐私都面临风险。接下来,我们针对每个领域提供一些缓解解决方案。”
发表评论
您还未登录,请先登录。
登录