「ピクチャー・イン・ピクチャー」難読化がデルタ、コールズをなりすまして認証情報を収集

「ピクチャー・イン・ピクチャー」難読化がデルタ、コールズをなりすまして認証情報を収集

タイムスタンプ:2年2023月12日36:XNUMX PM
ソースノード: 2699710

ハッカーは、デルタ航空や小売店コールズの光沢のある広告写真を利用した難読化戦術に目を向け、ユーザーをだまして資格情報収集サイトにアクセスさせ、個人情報を漏洩させています。

A 最近のキャンペーン アヴァナンが分析したところ、信頼できるブランドのギフトカードやロイヤルティ プログラムを提供する説得力のある写真の背後に、脅威アクターがどのように悪意のあるリンクを隠しているかが示されました。 より広く言えば、このキャンペーンは、サイバー犯罪者が古い戦術を AI などの新しいツールで更新し、フィッシングをより説得力のあるものにするという大きな傾向の一部です。

この難読化技術を「ピクチャー・イン・ピクチャー」と名付けたアヴァナンの研究者らは、攻撃の背後にいるサイバー犯罪者が単にマーケティング写真を悪意のある URL にリンクしているだけだと指摘した。 これを、画像内のピクセル レベルで悪意のあるペイロードをエンコードするステガノグラフィーと混同しないでください。

アヴァナン社のサイバーセキュリティ研究者兼アナリストであるジェレミー・フックス氏は次のように述べています。 ステガノグラフィーは非常に複雑な場合が多い「これは、同じ影響を与える可能性があるはるかに単純な方法であり、ハッカーにとって大規模に複製するのが簡単です。」

画像の難読化によって企業 URL フィルターが妨げられる

単純ではありますが、ピクチャー・イン・ピクチャーのアプローチにより、URL フィルターが脅威を検出することがより困難になると Avanan の研究者は指摘しています。

分析によると、「[フィルターが画像内をスキャンしていなければ、電子メールは] クリーンに見えます。」 「多くの場合、ハッカーはファイル、画像、または QR コードを悪意のあるものに喜んでリンクします。 OCRを使用して画像をテキストに変換したり、QRコードを解析してデコードしたりすることで、真の意図がわかります。 しかし、多くのセキュリティ サービスはこれを実行しないか、実行できません。」

Fuchs 氏は、このアプローチのもう XNUMX つの重要な利点は、悪意がターゲットに伝わりにくくなることだと説明しています。

「ソーシャル エンジニアリングと難読化を結びつけることで、クリックして行動したくなる非常に魅力的なものをエンド ユーザーに提示できる可能性があります」と彼は言い、ユーザーが画像の上にマウスを移動した場合、その URL リンクは明らかに関連性がないという警告を付け加えました。偽装されたブランド。 「この攻撃はかなり洗練されていますが、ハッカーはおそらくより独自の URL を使用しないことでポイントを失います」と彼は言いました。

このフィッシングは幅広い消費者網をターゲットにしていますが、航空会社のロイヤルティ プログラムの通信が企業の受信箱に届くことが多いことを考えると、企業は注意する必要があります。 そして、 リモートワークの時代、多くの従業員は個人のデバイスを仕事に使用しているか、会社支給のラップトップで個人のサービス (Gmail など) にアクセスしています。

「影響という点では、(キャンペーンは)複数の地域の多数の顧客を対象としていました」とフックス氏は付け加えた。 「犯人が誰であるかを知るのは難しいですが、このようなものはすぐに使えるキットとして簡単にダウンロードできることがよくあります。」

Gen AI を使用して古い戦術を更新する

フックス氏は、このキャンペーンは、フィッシング界で見られる新たな傾向の XNUMX つである、正規版とほとんど見分けがつかないスプーフィングに適合していると述べています。 今後、画像ベースのフィッシング攻撃に関しては、難読化戦術を支援するために生成 AI (ChatGPT など) が使用されるようになり、これらの攻撃を発見することはさらに困難になるだろうと彼は付け加えています。

「生成 AI を使えば非常に簡単です」と彼は言います。 「彼らはこれを使用して、馴染みのあるブランドやサービスの現実的なイメージを迅速に開発することができ、デザインやコーディングの知識がなくても大規模にそれを行うことができます。」

たとえば、ChatGPT プロンプトのみを使用して、Forcepoint の研究者が 最近確信した AI は、悪意のあるリクエストを拒否するように指示されているにもかかわらず、検出不可能なステガノグラフィー マルウェアを構築します。

CardinalOps のサイバー防御戦略担当副社長である Phil Neray 氏は、AI のトレンドは成長していると述べています。

「新しいのは、これらの電子メールを正規のブランドから受信する電子メールとほぼ同じように見せるために適用できる高度な技術です」と彼は言います。 「の使用のように、 AIが生成したディープフェイク, AI により、正規の電子メールと同じテキスト内容、口調、画像を含む電子メールの作成がはるかに簡単になりました。」

一般に、フィッシング詐欺師はフックスの言う「正当性内の難読化」をさらに強化しています。

「私が言いたいのは、良いもののように見えるものの中に悪いものを隠すということです」と彼は説明します。 「PayPalのような正規サービスになりすます例はこれまでにたくさん見てきましたが、今回はより実証済みのバージョンが使用されており、偽の、しかし説得力のある見た目の画像が含まれています。」

URL 保護を活用してデータ損失を防ぐ

この攻撃による企業への潜在的な影響は金銭的損失とデータ損失であり、組織は自らを守るために、まずこの種の攻撃についてユーザーを教育し、クリックする前に URL にカーソルを合わせて完全なリンクを確認することの重要性を強調する必要があります。

「それ以上に、攻撃の指標としてこのようなフィッシング手法を使用する URL 保護を活用することと、URL のすべてのコンポーネントを調べてその背後にあるページをエミュレートするセキュリティを実装することが重要であると考えています」とフックス氏は述べています。

既存の電子メール セキュリティがこのようなフィッシングを捕捉する機能を備えていないことに誰もが同意しているわけではありません。 Vulcan Cyber​​ 社のシニア テクニカル エンジニアである Mike Parkin 氏は、多くの電子メール フィルターがこうしたキャンペーンを捕捉し、最悪の場合スパムとしてマークするか、悪意のあるものとしてフラグを立てる可能性があると指摘しています。

同氏は、スパマーはスパムフィルターを回避する目的で長年にわたってテキストの代わりに画像を使用しており、スパムフィルターはそれらに対処するために進化していると指摘する。

「この攻撃は最近かなり頻繁に行われていますが、少なくとも私自身のジャンクメールフォルダに入っているスパムが何らかの兆候であるとすれば、それは特に高度な攻撃ではありません」と彼は付け加えた。

ただし、AI を利用した攻撃となると話は別になるかもしれません。 CardinalOps の Neray 氏は、こうした高度な画像ベースの攻撃に対抗する最善の方法は、大量のデータを使用して、偽のメールを認識する方法を AI ベースのアルゴリズムにトレーニングすることであると述べています。これは、電子メール自体の内容を分析するだけでなく、電子メールに関する情報を集約することによって行われます。他のすべてのユーザーが電子メールをどのように操作したか。

タイムスタンプ:

より多くの 暗い読書