Kobold Letters
3 de octubre de 2024
Kobold Letters
En el mundo digital actual, la seguridad de la informaci贸n es m谩s crucial que nunca. Los correos electr贸nicos HTML, aunque comunes y convenientes, presentan riesgos significativos que a menudo pasan desapercibidos. Uno de estos riesgos emergentes son los llamados "Kobold Letters", una t茅cnica sofisticada de phishing que explota las inconsistencias en la interpretaci贸n de CSS por parte de los clientes de correo electr贸nico.
Un ejemplo de este riesgo es un correo aparentemente inofensivo que, al ser reenviado, revela contenido malicioso previamente oculto. Este escenario demuestra c贸mo un atacante puede manipular elementos dentro de un correo electr贸nico HTML utilizando CSS, afectando su contenido dependiendo de si ha sido reenviado o no.
En esta secci贸n, exploraremos en detalle c贸mo funcionan las "Kobold Letters", los riesgos asociados con los correos electr贸nicos HTML y las medidas que los usuarios y organizaciones pueden tomar para protegerse contra este tipo de amenazas. 驴C贸mo Funcionan los "Kobold Letters"?
se basa en la capacidad de los atacantes para manipular el contenido de un correo electr贸nico utilizando reglas CSS que se activan o desactivan dependiendo del contexto del correo. Espec铆ficamente, cuando un correo electr贸nico es reenviado, la estructura del Documento de Modelo de Objeto (DOM) del correo cambia. Los atacantes pueden dise帽ar su c贸digo CSS para detectar y responder a estos cambios, mostrando u ocultando contenido espec铆fico basado en si el correo ha sido reenviado. Outlook en la Web (OWA)
En Outlook en la Web (OWA), los correos electr贸nicos reenviados pueden ser manipulados para alterar la estructura del DOM y las clases de los elementos. Por ejemplo, un correo original podr铆a contener una clase CSS oculta denominada .kobold-letter, dise帽ada para ser visible solo cuando el correo es reenviado. Al reenviar el correo, OWA podr铆a cambiar la estructura del DOM y modificar las clases, activando el contenido oculto. Esto se puede lograr con un c贸digo CSS como el siguiente:
<!DOCTYPE html>
<html>
<head>
<style>
.kobold-letter {
display: none;
}
body>div>.kobold-letter {
display: block !important;
}
</style>
</head>
<body>
<p>Este mensaje es una solicitud de aprobaci贸n rutinaria.</p>
<p class="kobold-letter">Si est谩s de acuerdo, procede con la transferencia.</p>
</body>
</html>
Gmail
Por defecto elimina la mayor铆a de los estilos CSS al reenviar correos electr贸nicos, por lo que se simplifica la tarea introduciendo un contenido oculto que se revela despu茅s del reenv铆o, aprovechando el hecho de que el CSS se elimina solo despu茅s de que el correo ha sido enviado.
<!DOCTYPE html>
<html>
<head>
<style>
.kobold-letter {
display: none;
}
</style>
</head>
<body>
<p>Este mensaje es una solicitud de aprobaci贸n rutinaria.</p>
<p class="kobold-letter">Si est谩s de acuerdo, procede con la transferencia.</p>
</body>
</html>
Thunderbird
Thunderbird cambia la estructura del DOM al reenviar correos electr贸nicos, lo que permite manipular el contenido visible al destinatario final. Un atacante puede dise帽ar su correo para que ciertos elementos CSS se activen solo despu茅s de que el correo sea reenviado, utilizando reglas CSS espec铆ficas para la estructura DOM modificada:
<!DOCTYPE html>
<html>
<head>
<style>
.kobold-letter {
display: none;
}
.moz-text-html>div>.kobold-letter {
display: block !important;
}
</style>
</head>
<body>
<p>Este mensaje es una solicitud de aprobaci贸n rutinaria.</p>
<p class="kobold-letter">Si est谩s de acuerdo, procede con la transferencia.</p>
</body>
</html>
Prueba de concepto
Para demostrar que a d铆a de hoy (15 de Junio de 2024) se sigue aconteciendo, voy a enviar desde Thunderbird un HTML a un OWA, una vez recibido solo aparecer谩 la informaci贸n que se desea y al reenviarlo al Gmail aparecer谩 el nuevo p谩rrafo.
Desde Thunderbird, el texto final se ve as铆:
De la misma forma, en el OWA.
Pero tras reenviarlo...
