Ocultación de etiquetas HTML
21 de julio de 2025
Por Rikesh Vekaria y el equipo de investigación de amenazas de Mimecast
- Los autores de amenazas utilizan la ofuscación de etiquetas HTML para eludir los sistemas de detección de seguridad del correo electrónico
- Las técnicas de estilo CSS permiten que el contenido malicioso eluda las soluciones de seguridad, al tiempo que parece legítimo para los usuarios finales
- Campañas de suplantación de marcas que aprovechan la ofuscación de derechos de autor de Microsoft
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado una sofisticada técnica de ofuscación de HTML utilizada por los autores de amenazas para eludir los sistemas de detección de seguridad del correo electrónico. Este método aprovecha las etiquetas HTML legítimas <bdo> (Bi-Directional Override) y <cite>, en combinación con estilos CSS, para ocultar contenido malicioso en comunicaciones por correo electrónico que parecen legítimas. Esta técnica de ofuscación supone una evolución en los métodos de evasión basados en el correo electrónico, lo que pone de manifiesto la continua adaptación de los autores de las amenazas a los controles de seguridad. Al aprovechar la funcionalidad legítima de las etiquetas HTML diseñadas para el formato del texto y las citas, los atacantes pueden incrustar contenido oculto que elude los métodos tradicionales de detección basados en el contenido, al tiempo que mantienen el aspecto visual de las comunicaciones legítimas.
Análisis técnico
Aprovechamiento de la etiqueta BDO
La etiqueta <bdo> está diseñada tradicionalmente para controlar la dirección del texto en los documentos HTML, gestionando específicamente el formato de texto de derecha a izquierda (RTL) y de izquierda a derecha (LTR) mediante el atributo «dir ». Sin embargo, los autores de amenazas están aprovechando esta etiqueta sin los valores de dirección adecuados, utilizándola en su lugar como contenedor de contenido ofuscado.
Implementación maliciosa:
En este ejemplo, el texto legítimo « "© 2025 Microsoft." » se ofusca insertando caracteres alfanuméricos aleatorios dentro de las etiquetas BDO, lo que fragmenta el contenido legible sin alterar la estructura general.
Aprovechamiento de la etiqueta CITE
La <cite> etiqueta `> `, según la guía de estilo de la <, está pensada para marcar el título de las obras creativas y, por defecto, suele aparecer en cursiva. Los autores de amenazas están reutilizando esta etiqueta para ocultar contenido ofuscado dentro de un texto que parece legítimo.
Implementación maliciosa:
Al igual que la técnica BDO, este método fragmenta el "© 2025 Microsoft." texto mediante la inserción de caracteres aleatorios dentro de las etiquetas CITE, lo que crea una ofuscación visual al tiempo que se mantiene la estructura subyacente del mensaje.
Invisibilidad basada en CSS
El elemento clave de esta técnica de ofuscación se basa en estilos CSS que ocultan el contenido malicioso a los usuarios finales, al tiempo que mantienen su presencia en el código fuente HTML.
Estilo de las etiquetas de BDO:
Estilo de las etiquetas CITE:
La declaración «font-size: 0» garantiza que, independientemente de la familia de fuentes especificada, el texto ofuscado permanezca invisible cuando lo muestren los clientes de correo electrónico. Esta técnica oculta eficazmente el contenido malicioso a los usuarios, al tiempo que podría eludir los sistemas de seguridad que analizan el contenido visible.
A continuación se muestra un ejemplo de una campaña en la que se utiliza esta técnica: en la parte izquierda se muestra el código HTML sin formato y, en la parte derecha, el aspecto que tiene el correo electrónico una vez visualizado en Outlook.
Metodología de evasión
Esta técnica presenta varias características sofisticadas de evasión:
- Uso indebido de etiquetas legítimas: Al utilizar etiquetas HTML estándar con fines distintos a los previstos, esta técnica aprovecha la brecha existente entre la funcionalidad de las etiquetas y la lógica de detección de amenazas de seguridad.
- Manipulación de CSS: La combinación de la estructura HTML con los estilos CSS crea un sistema de ofuscación de múltiples capas que separa el contenido de la presentación.
- Representación del lado del cliente: La ofuscación solo surte efecto cuando la procesan los clientes de correo electrónico, lo que dificulta que los sistemas de seguridad analicen el resultado final de la representación.
- Suplantación de marcas: Esta técnica se centra específicamente en elementos reconocibles de las marcas, como los avisos de derechos de autor de Microsoft, lo que podría aportar credibilidad a las comunicaciones maliciosas.
La evolución de las técnicas de ofuscación basadas en HTML pone de manifiesto la importancia de mantener capacidades de detección avanzadas que permitan analizar tanto la estructura técnica como la presentación visual del contenido de los correos electrónicos. Las organizaciones deben asegurarse de que sus controles de seguridad sean capaces de identificar y mitigar de manera eficaz estos sofisticados métodos de evasión.
Protección de Mimecast
Mimecast ha implementado funciones avanzadas de análisis de HTML para detectar técnicas de ofuscación basadas en CSS, incluidas aquellas que utilizan etiquetas BDO y CITE. Nuestros sistemas de detección analizan tanto la estructura HTML como los estilos CSS para identificar contenidos que puedan estar ocultos a los usuarios, aunque sigan estando presentes en el código fuente.
Objetivos:
Esta técnica se ha observado en diversos sectores y regiones geográficas, prestando especial atención a las campañas que se hacen pasar por marcas y servicios tecnológicos de confianza.
Indicadores de compromiso (IOC)
Patrones HTML:
- Uso de etiquetas BDO sin los atributos «dir » adecuados
- Etiquetas CITE que contienen caracteres alfanuméricos aleatorios
- Estilo CSS con «font-size: 0» aplicado a las etiquetas BDO o CITE
- Nombres de marcas fragmentados o avisos de derechos de autor dentro de estas etiquetas
Indicadores CSS:
- Declaraciones de «font-size: 0 » aplicadas a elementos BDO o CITE
- Combinación de las propiedades «font-family» y «font-style» con un tamaño de fuente igual a cero
- Declaraciones de estilo que ocultan el contenido
Recomendaciones
Concienciación en materia de seguridad:
- Informe a los usuarios sobre la importancia de verificar la autenticidad del remitente más allá de la apariencia visual.
- Forme a los equipos de seguridad para que sean capaces de reconocer las técnicas de ofuscación de HTML en el análisis manual.
- Implemente mecanismos de notificación para los correos electrónicos sospechosos que parezcan legítimos pero que contengan un formato inusual
Detección proactiva de amenazas:
- Busque en los registros de correo electrónico contenido HTML que incluya etiquetas BDO o CITE con contenido alfanumérico.
- Supervise si hay estilos CSS que establezcan el tamaño de fuente en 0 para elementos HTML concretos.
- Analice los correos electrónicos que contengan nombres de marcas fragmentados o avisos de derechos de autor.