Le tecniche di attacco informatico si evolvono costantemente, e i ricercatori di Cisco Talos hanno recentemente individuato un nuovo metodo utilizzato da cybercriminali per aggirare i filtri antispam, nascondere contenuti dannosi e tracciare le vittime attraverso l’uso dei Cascading Style Sheets (CSS).
I CSS sono comunemente utilizzati per la formattazione delle pagine web e delle email, definendo l’aspetto visivo degli elementi HTML. Tuttavia, le loro caratteristiche possono essere sfruttate per manipolare il modo in cui le informazioni vengono visualizzate nei client email, permettendo agli attaccanti di inserire contenuti nascosti e di tracciare il comportamento degli utenti. Questo tipo di abuso è stato osservato attivamente dal 2024 fino a febbraio 2025, con diverse varianti dell’attacco che dimostrano l’efficacia di questi metodi nel superare i controlli di sicurezza e nel raccogliere informazioni sugli utenti.
Come i CSS vengono utilizzati per eludere i sistemi di rilevamento
L’utilizzo dei CSS per occultare contenuti è una tecnica sofisticata che permette ai cybercriminali di ingannare i filtri di sicurezza e rendere i messaggi dannosi meno sospetti. Una delle strategie principali prevede l’inserimento di testo nascosto all’interno del corpo delle email, in modo che sia invisibile agli utenti ma comunque presente per i sistemi di scansione automatizzati.
Una delle tecniche osservate prevede l’uso della proprietà text-indent, impostata con valori estremamente elevati come -9999px, che sposta il testo fuori dall’area visibile della finestra di lettura dell’email. Questo consente agli attaccanti di inserire parole chiave o frasi casuali nel messaggio, aumentando le probabilità che l’email venga considerata legittima dai filtri antispam senza che il contenuto sospetto venga mostrato al destinatario.
Un altro metodo efficace per nascondere il testo è l’utilizzo della proprietà opacity, che permette di rendere completamente trasparente un determinato contenuto. Questo approccio è spesso combinato con l’uso di font-size estremamente ridotti, rendendo il testo praticamente invisibile agli occhi dell’utente. Gli attaccanti sfruttano queste tecniche per camuffare il testo all’interno delle email di phishing, evitando che venga rilevato dai motori di scansione automatizzata.
Oltre a nascondere testo all’interno del corpo dell’email, un’altra tecnica osservata riguarda l’uso del preheader invisibile. Il preheader è una parte dell’email che appare subito dopo l’oggetto e viene spesso utilizzato nei messaggi promozionali per fornire un’anteprima del contenuto. I cybercriminali manipolano il preheader applicando proprietà CSS come max-height, max-width e mso-hide, rendendo il testo completamente invisibile per l’utente ma comunque presente nel codice dell’email.
Un esempio particolarmente avanzato di attacco osservato di recente riguarda l’utilizzo della tecnica dell’HTML smuggling, che consente di incorporare codice malevolo all’interno di allegati HTML. In questo caso, il file HTML allegato all’email contiene codice CSS che nasconde porzioni di testo casuale all’interno della pagina, rendendolo invisibile all’utente ma comunque interpretabile dai filtri antispam. L’attaccante può poi utilizzare JavaScript o altre tecniche per eseguire codice malevolo nel browser della vittima una volta aperto il file.
L’abuso dei CSS per il tracciamento degli utenti
Oltre a eludere i filtri di sicurezza, i CSS vengono sfruttati anche per raccogliere informazioni sulle vittime e tracciarne il comportamento. Questa tecnica è particolarmente subdola perché consente agli attaccanti di identificare il sistema operativo, il client email utilizzato e persino le preferenze visive della vittima, senza bisogno di eseguire codice JavaScript o altre tecniche più facilmente rilevabili.
Uno dei metodi più comuni per il tracciamento tramite CSS è l’utilizzo di immagini e link specifici che vengono caricati dinamicamente in base alle impostazioni del dispositivo dell’utente. Ad esempio, gli attaccanti possono inserire immagini di tracking che vengono caricate solo se il destinatario dell’email utilizza un determinato sistema operativo o client email. Questo permette di ottenere informazioni preziose sulle preferenze dell’utente e di personalizzare eventuali attacchi futuri.
Un’altra tecnica efficace per il fingerprinting degli utenti sfrutta la regola @media dei CSS, che consente di determinare caratteristiche specifiche del dispositivo della vittima, come la risoluzione dello schermo e le impostazioni del colore. Questa informazione può essere utilizzata per identificare la tipologia di dispositivo utilizzato e adattare i contenuti dannosi in base alle preferenze dell’utente.
L’uso della proprietà font-face permette agli attaccanti di individuare il sistema operativo in uso analizzando la disponibilità di determinati font. Ad esempio, il font Segoe UI è comunemente utilizzato nei sistemi Windows, mentre Helvetica Neue è più diffuso su macOS. Gli attaccanti possono sfruttare questa informazione per determinare il sistema operativo dell’utente e personalizzare l’attacco di conseguenza.
Un altro metodo avanzato di tracciamento riguarda l’utilizzo di URL unici per il caricamento di risorse all’interno dell’email. I cybercriminali possono creare immagini diverse che vengono caricate in base alle impostazioni del dispositivo dell’utente. Analizzando i log del server, gli attaccanti possono ottenere informazioni preziose sulle caratteristiche del dispositivo, come il tipo di sistema operativo e il client email utilizzato.
Alcuni attacchi osservati recentemente utilizzano anche i CSS per monitorare se un’email viene stampata. Questo viene realizzato attraverso l’uso di regole CSS specifiche che modificano il contenuto della pagina quando viene attivata la modalità di stampa. L’attaccante può quindi utilizzare questa informazione per capire se la vittima ha interagito con l’email in un determinato modo e adattare la strategia di attacco di conseguenza.
Strategie di mitigazione
L’utilizzo abusivo dei CSS per l’elusione dei filtri di sicurezza e il tracciamento degli utenti rappresenta una minaccia crescente, ed è fondamentale adottare misure efficaci per contrastare questi attacchi.
Una delle strategie più efficaci per mitigare il rischio è l’implementazione di filtri avanzati per le email, in grado di rilevare tecniche di evasione come il testo nascosto e la manipolazione dei preheader. I sistemi di sicurezza devono essere in grado di analizzare il codice CSS all’interno delle email e identificare eventuali tentativi di offuscamento o nascondimento di contenuti malevoli.
L’utilizzo di proxy di privacy per le email rappresenta un’altra soluzione efficace per contrastare il tracciamento degli utenti tramite CSS. I proxy di privacy possono riscrivere le email in modo da rimuovere eventuali elementi di tracciamento e bloccare il caricamento di risorse remote. Questo impedisce agli attaccanti di raccogliere informazioni sulle vittime e riduce il rischio di attacchi mirati.
L’abuso dei CSS per scopi malevoli rappresenta una nuova minaccia per la sicurezza informatica, permettendo agli attaccanti di eludere i filtri antispam, nascondere contenuti dannosi e tracciare gli utenti senza l’uso di JavaScript. Le aziende devono adottare strategie di difesa avanzate per proteggere le proprie infrastrutture e garantire la sicurezza delle comunicazioni email.