Trong một sự phát triển tinh vi của các tấn công mạng dựa trên email, những kẻ tấn công đã bắt đầu lợi dụng Cascading Style Sheets (CSS) để chèn “muối” ẩn — nội dung không liên quan dùng để đánh lừa các hệ thống phát hiện — sâu vào bên trong email HTML.

Theo dõi kéo dài một năm của Cisco Talos (từ ngày 1 tháng 3 năm 2024 đến ngày 31 tháng 7 năm 2025) cho thấy sự gia tăng đáng kể việc lạm dụng các thuộc tính CSS để che giấu mã độc và cản trở cả các hệ thống phòng thủ dựa trên chữ ký lẫn các giải pháp dựa trên máy học tiên tiến trong các tấn công mạng hiện đại. Thông tin chi tiết được công bố tại blog Cisco Talos.

Bằng cách nhúng các đoạn văn bản “muối” ẩn vào các thành phần email chiến lược, kẻ tấn công có thể né tránh bộ lọc, thao túng phát hiện ngôn ngữ, và thậm chí làm sai lệch phân tích ý định dựa trên LLM trong các tấn công mạng lừa đảo.

Kỹ thuật Che Giấu Văn Bản “Muối” Bằng CSS trong Tấn Công Mạng

Kỹ thuật che giấu văn bản “muối” xuất hiện như một biện pháp đối phó với sự phát triển của các hệ thống phòng thủ email.

Ban đầu, các đối tượng thực hiện tấn công mạng đã chèn các ký tự ngẫu nhiên giữa các từ khóa để vượt qua các máy quét chữ ký.

Theo thời gian, kẻ tấn công đã tinh chỉnh phương pháp bằng cách định kiểu các ký tự này bằng các thuộc tính CSS, chẳng hạn như đặt font-size:0 hoặc opacity:0, để làm cho “muối” không hiển thị với người dùng nhưng vẫn có thể đọc được đối với các trình phân tích cú pháp.

Thao Túng Phát Hiện Ngôn Ngữ và Các Vấn Đề Khác

Bằng cách ẩn các thuật ngữ tiếng Pháp không liên quan giữa văn bản tiếng Anh, kẻ tấn công đã lừa Microsoft’s language detection phân loại sai các email lừa đảo (phishing), một dạng phổ biến của tấn công mạng, khiến chúng vượt qua bộ lọc mà không bị phát hiện.

Trong một trường hợp, một email lừa đảo mạo danh PayPal, một ví dụ về tấn công mạng nhắm mục tiêu, chứa câu “Great news, we’ve got your order” được ẩn trong một thẻ <div> với font-size:1px và line-height:0, chỉ được tiết lộ khi kích thước font được tăng lên 20px.

Tương tự, các email lừa đảo mạo danh Harbor Freight đã bao gồm văn bản “muối” tiếng Pháp ẩn qua thuộc tính display:none, gây nhầm lẫn trường ngôn ngữ X-Forefront-Antispam-Report.

Các Loại Nội Dung và Điểm Chèn “Muối”

Cisco Talos phân loại việc lạm dụng CSS để che giấu văn bản “muối” thành ba loại nội dung và bốn điểm chèn.

Các Loại Nội Dung “Muối”

• Ký tự ngẫu nhiên: Thường bao gồm các khoảng trắng có chiều rộng bằng không (Zero-Width Space – ZWSP) hoặc các ký tự không nối (Zero-Width Non-Joiner – ZWNJ) được chèn giữa các tên thương hiệu, như đã thấy trong các email mạo danh Norton LifeLock.
• Đoạn văn không liên quan: Kẻ tấn công nhúng các cụm từ tiếng Đức và tiếng Phần Lan vào “muối” dạng đoạn văn trong các tệp đính kèm HTML để cản trở phân tích tĩnh.
• Bình luận HTML/JavaScript: Trong một chiến dịch khác, các bình luận không liên quan được xen kẽ trong các URL được mã hóa Base64 để làm phức tạp quá trình giải mã.

Các Điểm Chèn Phổ Biến

Các đoạn “muối” này xuất hiện ở bốn khu vực chính của email:

• Preheader: Đã từng chứa các cụm từ hấp dẫn như “FOUR yummy soup recipes just for you!” được ẩn qua opacity:0, max-height:0, và mso-hide:all để thu hút nhấp chuột mà không bị phát hiện.
• Header: Khu vực tiêu đề của email.
• Attachments: Tệp đính kèm chứa “muối” trong HTML, nơi kẻ tấn công chèn các bình luận ngẫu nhiên xung quanh dữ liệu Base64.
• Body: Phần thân email vẫn là vị trí phổ biến nhất, với các từ khóa thô được xen kẽ với các ký tự rác để né tránh bộ lọc.

Thuộc Tính CSS Bị Lạm Dụng để Che Giấu

Kẻ tấn công cũng thao túng các loại thuộc tính CSS để che giấu “muối” nhằm thực hiện các tấn công mạng hiệu quả hơn.

• Thuộc tính văn bản:font-size, color, line-height được sử dụng để thu nhỏ hoặc đổi màu văn bản để hòa lẫn với nền.
• Thuộc tính hiển thị và khả năng hiển thị:display:none, visibility:hidden loại bỏ các phần tử khỏi quá trình hiển thị.
• Cắt và kích thước:width:0, overflow:hidden cắt văn bản ẩn bên trong các vùng chứa có kích thước bằng không.

Trong một ví dụ lừa đảo Wells Fargo, các từ khóa có ý nghĩa đã được “muối” bằng cách sử dụng bộ chọn bdo toàn cục với font-size:0, làm thay đổi phân loại ý định của các hệ thống phòng thủ dựa trên LLM từ “Request Action” thành “Schedule Meeting”. Đây là một mối đe dọa mạng đáng kể đối với tính toàn vẹn của giao tiếp email.

Chiến Lược Phòng Thủ và Phát Hiện

Các chuyên gia bảo mật phải áp dụng phương pháp tiếp cận kép: phát hiện và lọc. Các giải pháp phát hiện nên mở rộng vượt ra ngoài phân tích văn bản đơn giản để phân tích các mẫu sử dụng CSS và sự khác biệt về hình ảnh.

Talos đã chọn một vài thuộc tính CSS đơn giản có thể được sử dụng để ẩn “muối” bổ sung, bao gồm:

• font-size: 0
• opacity: 0
• display: none
• max-width: 0
• max-height: 0
• color: transparent
• visibility: hidden
• width: 0
• height: 0

Họ đã tìm kiếm các chỉ số này trong các email được phân loại lại bởi khách hàng Cisco Secure ETD.

Nâng Cao Khả Năng Lọc và Phát Hiện

Các bộ lọc nâng cao có thể kiểm tra các phần của email — preheader, header, body, attachments — để xác định và gắn cờ nội dung ẩn. Việc kết hợp phân tích dựa trên hình ảnh, chẳng hạn như hiển thị ảnh chụp email để phát hiện các lớp phủ vô hình, có thể ngăn chặn các tấn công mạng dựa trên hình ảnh.

Các tổ chức nên tinh chỉnh các chính sách để chấp nhận các mục đích sử dụng hợp pháp trong khi gắn cờ các tải trọng CSS bất thường. Việc áp dụng các mô hình học sâu, được điều khiển bởi AI, xem xét các tính năng hình ảnh, cấu trúc và ngữ cảnh có thể cải thiện đáng kể khả năng phục hồi chống lại chiến thuật lẩn tránh này.

Các giải pháp lọc phải làm sạch HTML khi nhập, loại bỏ hoặc thoát các phần tử vô hình trước khi các công cụ hạ nguồn xử lý tin nhắn. Các cổng email có thể triển khai “prompt guards” để bỏ qua bất kỳ nội dung nào được định kiểu là ẩn. Điều này rất quan trọng để đảm bảo bảo mật mạng hiệu quả.

Kỹ thuật che giấu văn bản “muối” phổ biến hơn nhiều trong thư rác và lừa đảo so với thư hợp pháp, mặc dù một số mục đích sử dụng CSS lành tính (thiết kế đáp ứng, pixel theo dõi) cũng có nét tương đồng với các kỹ thuật này.

Bằng cách nhận diện và vô hiệu hóa kỹ thuật che giấu văn bản “muối”, các đội ngũ bảo mật có thể khôi phục tính toàn vẹn của hệ thống phòng thủ email và ngăn chặn kẻ tấn công vượt qua các lớp bảo vệ. Giám sát liên tục việc lạm dụng CSS, kết hợp với việc làm sạch chủ động, sẽ rất quan trọng trong việc chống lại mối đe dọa mạng đang nổi lên này.