L'offuscamento "Picture-in-Picture" falsifica Delta, Kohl's per la raccolta delle credenziali

Gli hacker si stanno rivolgendo a tattiche di offuscamento basate su foto pubblicitarie patinate di Delta Airlines e del rivenditore Kohl's, inducendo gli utenti a visitare siti di raccolta di credenziali e a fornire informazioni personali.

A campagna recente analizzato da Avanan ha mostrato come gli attori delle minacce nascondano collegamenti dannosi dietro foto convincenti che offrono carte regalo e programmi fedeltà di tali marchi affidabili. Più in generale, la campagna fa parte di una tendenza più ampia di criminali informatici che aggiornano le vecchie tattiche con nuovi strumenti, come l'intelligenza artificiale, che rendono i phishing più convincenti.

I ricercatori Avanan, che hanno soprannominato la tecnica di offuscamento "immagine nell'immagine", hanno notato che i criminali informatici dietro gli attacchi stanno semplicemente collegando le foto di marketing a URL dannosi. Questo non deve essere confuso con la steganografia, che codifica i payload dannosi a livello di pixel all'interno di un'immagine.

Jeremy Fuchs, ricercatore e analista di sicurezza informatica presso Avanan, lo osserva la steganografia è spesso super complessae "questo è un modo molto più semplice di fare cose che potrebbero comunque avere lo stesso impatto ed è più facile da replicare per gli hacker su larga scala".

Filtri URL aziendali ostacolati dall'offuscamento delle immagini

Sebbene semplice, l'approccio picture-in-picture rende più difficile per i filtri URL rilevare la minaccia, hanno osservato i ricercatori di Avanan.

"[L'e-mail] sembrerà pulita [ai filtri] se non eseguono la scansione all'interno dell'immagine", secondo l'analisi. “Spesso, gli hacker collegano felicemente un file, un'immagine o un codice QR a qualcosa di dannoso. Puoi vedere la vera intenzione utilizzando l'OCR per convertire le immagini in testo o analizzando i codici QR e decodificandoli. Ma molti servizi di sicurezza non lo fanno o non possono farlo”.

Fuchs spiega che l'altro vantaggio chiave dell'approccio è quello di rendere la malizia meno evidente agli obiettivi.

"Legando l'ingegneria sociale all'offuscamento, puoi potenzialmente presentare agli utenti finali qualcosa di molto allettante su cui fare clic e su cui agire", afferma, aggiungendo l'avvertenza che se gli utenti passano il mouse sopra l'immagine, il collegamento all'URL non è chiaramente correlato a il marchio falsificato. "Questo attacco è abbastanza sofisticato, anche se l'hacker probabilmente perde punti non utilizzando un URL più originale", ha affermato.

Mentre il phishing crea un'ampia rete di consumatori, le aziende dovrebbero essere consapevoli dato che le comunicazioni del programma di fidelizzazione delle compagnie aeree spesso arrivano alle caselle di posta aziendali; e, dentro l'era del lavoro a distanza, molti dipendenti utilizzano dispositivi personali per lavoro o accedono a servizi personali (come Gmail) sui laptop aziendali.

"In termini di impatto, [la campagna] era rivolta a un gran numero di clienti, in più regioni", aggiunge Fuchs. "Sebbene sia difficile sapere chi sia l'autore, cose come questa possono essere facilmente scaricate come kit pronti all'uso".

Usare la Gen AI per aggiornare le vecchie tattiche

Fuchs afferma che la campagna si adatta a una delle tendenze emergenti osservate nel panorama del phishing: spoofing quasi indistinguibili dalle versioni legittime. Andando avanti, l'uso dell'intelligenza artificiale generativa (come ChatGPT) per aiutare le tattiche di offuscamento quando si tratta di attacchi di phishing basati su immagini non farà che renderli più difficili da individuare, aggiunge.

"È semplicissimo con l'IA generativa", afferma. "Possono usarlo per sviluppare rapidamente immagini realistiche di marchi o servizi familiari e farlo su larga scala e senza alcuna conoscenza di progettazione o codifica".

Ad esempio, utilizzando solo i prompt di ChatGPT, un ricercatore di Forcepoint recentemente convinto l'intelligenza artificiale nella creazione di malware steganografia non rilevabile, nonostante la sua direttiva di rifiutare richieste dannose.

Phil Neray, vicepresidente della strategia di difesa informatica di CardinalOps, afferma che la tendenza dell'IA è in crescita.

"La novità è il livello di sofisticazione che ora può essere applicato per far sembrare queste e-mail quasi identiche alle e-mail che riceveresti da un marchio legittimo", afferma. “Come l'uso di Deepfake generati dall'intelligenza artificiale, l'intelligenza artificiale ora rende molto più facile creare e-mail con lo stesso contenuto testuale, tono e immagini di un'e-mail legittima."

In generale, i phisher stanno raddoppiando ciò che Fuchs chiama "offuscamento all'interno della legittimità".

"Quello che intendo con questo è nascondere cose cattive in quelle che sembrano cose buone", spiega. "Sebbene abbiamo visto molti esempi di spoofing di servizi legittimi come PayPal, questo utilizza la versione più collaudata, che include immagini false, ma dall'aspetto convincente."

Sfruttare la protezione degli URL per proteggersi dalla perdita di dati

Le potenziali implicazioni dell'attacco per le aziende sono la perdita monetaria e la perdita di dati e, per difendersi, le organizzazioni dovrebbero prima cercare di istruire gli utenti su questi tipi di attacchi, sottolineando l'importanza di passare il mouse sopra gli URL e guardare il collegamento completo prima di fare clic.

"Oltre a ciò, riteniamo che sia importante sfruttare la protezione degli URL che utilizza tecniche di phishing come questa come indicatore di un attacco, nonché implementare la sicurezza che esamina tutti i componenti di un URL ed emula la pagina dietro di esso", osserva Fuchs.

Non tutti sono d'accordo sul fatto che la sicurezza e-mail esistente non sia all'altezza del compito di rilevare tali phishing. Mike Parkin, ingegnere tecnico senior presso Vulcan Cyber, osserva che molti filtri di posta elettronica rileverebbero queste campagne e nel peggiore dei casi le contrassegnerebbero come spam o come dannose.

Nota che gli spammer usano da anni immagini al posto del testo nella speranza di aggirare i filtri antispam, e i filtri antispam si sono evoluti per gestirli.

"Sebbene l'attacco sia stato abbastanza comune negli ultimi tempi, almeno se lo spam nella mia cartella della posta indesiderata è indicativo, non si tratta di un attacco particolarmente sofisticato", aggiunge.

Tuttavia, gli attacchi abilitati all'intelligenza artificiale potrebbero essere una storia diversa. Neray di CardinalOps afferma che il modo migliore per combattere questi attacchi basati su immagini più avanzati è utilizzare grandi quantità di dati per addestrare algoritmi basati sull'intelligenza artificiale a riconoscere le e-mail false, analizzando il contenuto delle e-mail stesse e aggregando informazioni su come tutti gli altri utenti hanno interagito con le email.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
• Fonte: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting