Offuscamento dei tag HTML
21 luglio 2025
Di Rikesh Vekaria e del team di ricerca sulle minacce di Mimecast
- Gli autori di minacce ricorrono all’offuscamento dei tag HTML per eludere i sistemi di rilevamento della sicurezza della posta elettronica
- Le tecniche di styling CSS consentono ai contenuti dannosi di eludere le soluzioni di sicurezza, pur apparendo legittimi agli occhi degli utenti finali
- Campagne di usurpazione di identità di marchi che sfruttano le tecniche di offuscamento del codice di Microsoft
Panoramica della campagna
Il team Mimecast Threat Research ha individuato una sofisticata tecnica di offuscamento HTML utilizzata dagli autori delle minacce per eludere i sistemi di rilevamento della sicurezza della posta elettronica. Questo metodo sfrutta i tag HTML legittimi <bdo> (Bi-Directional Override) e <cite> , in combinazione con gli stili CSS, per nascondere contenuti dannosi all’interno di comunicazioni e-mail apparentemente legittime. Questa tecnica di offuscamento rappresenta un’evoluzione dei metodi di elusione basati sulla posta elettronica, a dimostrazione del continuo adattamento degli autori delle minacce ai controlli di sicurezza. Sfruttando le funzionalità legittime dei tag HTML progettati per la formattazione del testo e le citazioni, gli autori degli attacchi possono incorporare contenuti nascosti che eludono i tradizionali sistemi di rilevamento basati sul contenuto, pur mantenendo l’aspetto visivo delle comunicazioni legittime.
Analisi tecnica
Sfruttamento dei tag BDO
Il tag <bdo> è tradizionalmente progettato per controllare la direzione del testo nei documenti HTML, gestendo in particolare la formattazione del testo da destra a sinistra (RTL) e da sinistra a destra (LTR) tramite l'attributo dir. Tuttavia, gli autori delle minacce stanno sfruttando questo tag senza attribuirgli valori direzionali adeguati, utilizzandolo invece come contenitore per contenuti offuscati.
Implementazione dannosa:
In questo esempio, il testo legittimo "© 2025 Microsoft." viene offuscato inserendo caratteri alfanumerici casuali all’interno dei tag BDO, frammentando il contenuto leggibile pur mantenendo la struttura complessiva.
Sfruttamento del tag CITE
Il <cite> tag `> `, come indicato su<, è destinato a contrassegnare il titolo delle opere creative e, per impostazione predefinita, viene solitamente visualizzato in corsivo. Gli autori delle minacce stanno riutilizzando questo tag per nascondere contenuti offuscati all’interno di testo che sembra legittimo.
Implementazione dannosa:
Analogamente alla tecnica BDO, questo metodo frammenta l'"© 2025 Microsoft." testo inserendo caratteri casuali all’interno dei tag CITE, creando un effetto di offuscamento visivo pur mantenendo la struttura del messaggio sottostante.
Invisibilità basata su CSS
L'elemento fondamentale di questa tecnica di offuscamento si basa su stili CSS che rendono il contenuto dannoso invisibile agli utenti finali, pur mantenendone la presenza nel codice sorgente HTML.
Stile dei tag BDO:
Stile dei tag CITE:
La dichiarazione ` font-size: 0 ` garantisce che, indipendentemente dalla famiglia di caratteri specificata, il testo offuscato rimanga invisibile quando viene visualizzato dai client di posta elettronica. Questa tecnica nasconde efficacemente il contenuto dannoso agli utenti, eludendo al contempo, potenzialmente, i sistemi di sicurezza che analizzano i contenuti visibili.
Di seguito è riportato un esempio di campagna che utilizza questa tecnica: a sinistra è riportato il codice HTML grezzo, mentre a destra è visibile l'aspetto dell'e-mail una volta visualizzata in Outlook.
Metodologia di evasione
Questa tecnica presenta diverse caratteristiche sofisticate di elusione:
- Abuso legittimo dei tag: utilizzando tag HTML standard per scopi diversi da quelli previsti, questa tecnica sfrutta il divario tra la funzionalità dei tag e la logica di rilevamento delle minacce di sicurezza.
- Manipolazione CSS: la combinazione della struttura HTML con lo stile CSS crea un sistema di offuscamento a più livelli che separa il contenuto dalla presentazione.
- Rendering lato client: l’offuscamento diventa efficace solo una volta elaborato dai client di posta elettronica, rendendo difficile per i sistemi di sicurezza analizzare il risultato finale del rendering.
- Falsificazione del marchio: questa tecnica prende di mira specificatamente elementi riconoscibili del marchio, come le note sul copyright di Microsoft, conferendo potenzialmente credibilità a comunicazioni malevole.
L'evoluzione delle tecniche di offuscamento basate sull'HTML dimostra l'importanza di disporre di capacità di rilevamento avanzate in grado di analizzare sia la struttura tecnica che la presentazione visiva dei contenuti delle e-mail. Le organizzazioni dovrebbero garantire che i propri controlli di sicurezza siano in grado di identificare e mitigare efficacemente questi sofisticati metodi di elusione.
Protezione Mimecast
Mimecast ha implementato funzionalità avanzate di analisi HTML per individuare tecniche di offuscamento basate su CSS, comprese quelle che utilizzano i tag BDO e CITE. I nostri sistemi di rilevamento analizzano sia la struttura HTML che lo stile CSS per identificare i contenuti che potrebbero essere nascosti agli utenti pur rimanendo presenti nel codice sorgente.
Obiettivi:
Questa tecnica è stata riscontrata in vari settori e aree geografiche, con particolare attenzione alle campagne che si spacciano per marchi e servizi tecnologici affidabili.
Indicatori di compromissione (IOC)
Modelli HTML:
- Utilizzo di tag BDO senza attributi dir corretti
- Tag CITE contenenti caratteri alfanumerici casuali
- Stile CSS con ` font-size: 0 ` applicato ai tag BDO o CITE
- Nomi di marchi o avvisi di copyright frammentati all’interno di questi tag
Indicatori CSS:
- dichiarazioni relative alla dimensione del carattere (font-size: 0) che riguardano gli elementi BDO o CITE
- Combinazione delle proprietà `font-family` e `font-style` con dimensione del carattere pari a zero
- Dichiarazioni di stile che rendono invisibile il contenuto
Raccomandazioni
Sensibilizzazione alla sicurezza:
- Sensibilizzate gli utenti sull’importanza di verificare l’autenticità del mittente al di là dell’aspetto visivo.
- Formare i team addetti alla sicurezza affinché siano in grado di riconoscere le tecniche di offuscamento HTML nell'ambito dell'analisi manuale.
- Attuare meccanismi di segnalazione per le e-mail sospette che sembrano legittime ma presentano una formattazione insolita
Ricerca proattiva delle minacce:
- Cercare nei registri delle e-mail i contenuti HTML che contengono tag BDO o CITE con contenuti alfanumerici.
- Si prega di verificare la presenza di stili CSS che impostino la dimensione del carattere (font-size) a 0 per specifici elementi HTML.
- Analizzare le e-mail contenenti nomi di marchi o note sul copyright riportati in forma frammentata.