자격 증명 수집을 위해 'Picture-in-Picture' 난독화로 Delta와 Kohl의 스푸핑

'Picture-in-Picture' 난독화는 자격 증명 수집을 위해 Delta, Kohl's를 스푸핑합니다.

타임 스탬프 : 2 년 2023 월 12 일 오후 36:XNUMX
소스 노드 : 2699710

해커들은 Delta Airlines와 소매업체 Kohl's의 멋진 광고 사진에 의존하는 난독화 전략으로 전환하여 사용자를 속여 자격 증명 수집 사이트를 방문하도록 하고 개인 정보를 포기하고 있습니다.

A 최근 캠페인 Avanan이 분석한 결과 위협 행위자가 신뢰할 수 있는 브랜드의 기프트 카드와 로열티 프로그램을 제공하는 설득력 있는 사진 뒤에 악의적인 링크를 숨기는 방법을 보여 주었습니다. 보다 광범위하게, 이 캠페인은 피싱을 더욱 설득력있게 만드는 AI와 같은 새로운 도구로 오래된 전술을 업데이트하는 사이버 사기꾼의 더 큰 추세의 일부입니다.

난독화 기술을 "픽처 인 픽처(Picture in Picture)"라고 명명한 Avanan 연구원은 공격 배후의 사이버 범죄자가 단순히 마케팅 사진을 악성 URL에 연결하고 있다고 지적했습니다. 이는 이미지 내의 픽셀 수준에서 악성 페이로드를 인코딩하는 스테가노그래피와 혼동해서는 안 됩니다.

Avanan의 사이버 보안 연구원이자 분석가인 Jeremy Fuchs는 스테가노그래피는 종종 매우 복잡합니다., "이것은 여전히 ​​동일한 영향을 미칠 수 있고 해커가 대규모로 복제하기 더 쉬운 작업을 수행하는 훨씬 간단한 방법입니다."

그림 난독화로 방해받는 기업 URL 필터

간단하지만 PIP(Picture-In-Picture) 접근 방식은 URL 필터가 위협을 포착하는 것을 더 어렵게 만든다고 Avanan 연구원은 지적했습니다.

분석에 따르면 "[이메일은] 이미지 내에서 스캔하지 않으면 [필터에] 깨끗해 보입니다." “종종 해커는 파일, 이미지 또는 QR 코드를 악의적인 것에 기꺼이 연결합니다. OCR을 사용하여 이미지를 텍스트로 변환하거나 QR 코드를 구문 분석하고 디코딩하면 진정한 의도를 알 수 있습니다. 그러나 많은 보안 서비스는 이를 수행하지 않거나 할 수 없습니다.”

Fuchs는 이 접근법의 또 다른 주요 이점은 표적이 악의적인 행동을 덜 보이게 한다는 것이라고 설명합니다.

그는 "사회 공학을 난독화에 연결하면 잠재적으로 최종 사용자에게 클릭하고 행동하고 싶은 매우 유혹적인 것을 제시할 수 있습니다."라고 말하면서 사용자가 이미지 위로 마우스를 가져가면 URL 링크는 분명히 스푸핑 된 브랜드. "이 공격은 상당히 정교하지만 해커는 원래 URL을 사용하지 않음으로써 포인트를 잃을 수 있습니다."라고 그는 말했습니다.

피싱이 광범위한 소비자 네트워크를 던지는 동안 기업은 항공사 로열티 프로그램 통신이 기업 받은 편지함으로 이동하는 경우가 많다는 점을 인식해야 합니다. 그리고, 안으로 원격 근무의 시대, 많은 직원이 업무용 개인 기기를 사용하거나 업무용 노트북에서 Gmail과 같은 개인 서비스에 액세스하고 있습니다.

Fuchs는 "영향 측면에서 [캠페인]은 여러 지역에서 많은 수의 고객을 대상으로 했습니다."라고 덧붙입니다. "범인이 누구인지 알기는 어렵지만 이와 같은 것들은 종종 바로 사용할 수 있는 키트로 쉽게 다운로드할 수 있습니다."

Gen AI를 사용하여 기존 전술 업데이트

Fuchs는 이 캠페인이 피싱 환경에서 볼 수 있는 새로운 트렌드 중 하나인 합법적인 버전과 거의 구별할 수 없는 스푸핑과 일치한다고 말합니다. 앞으로 이미지 기반 피싱 공격과 관련하여 난독화 전술을 지원하기 위해 생성 AI(ChatGPT와 같은)를 사용하면 이러한 공격을 발견하기가 더 어려워질 뿐이라고 그는 덧붙입니다.

"제너레이티브 AI를 사용하면 매우 쉽습니다."라고 그는 말합니다. "이를 사용하여 친숙한 브랜드나 서비스의 사실적인 이미지를 신속하게 개발할 수 있으며 디자인이나 코딩 지식 없이도 규모에 맞게 작업을 수행할 수 있습니다."

예를 들어 Forcepoint 연구원은 ChatGPT 프롬프트만 사용하여 최근 확신 AI는 악의적인 요청을 거부하라는 지시에도 불구하고 감지할 수 없는 스테가노그래피 악성코드를 구축하도록 합니다.

CardinalOps의 사이버 방어 전략 부사장인 Phil Neray는 AI 트렌드가 성장하고 있다고 말합니다.

"새로운 것은 이러한 이메일이 합법적인 브랜드에서 수신하는 이메일과 거의 동일하게 보이도록 적용할 수 있는 정교함의 수준입니다."라고 그는 말합니다. "를 사용하는 것처럼 AI 생성 딥페이크, 이제 AI를 사용하면 합법적인 이메일과 동일한 텍스트 콘텐츠, 어조 및 이미지로 훨씬 쉽게 이메일을 만들 수 있습니다.”

일반적으로 피셔는 Fuchs가 "합법성 내의 난독화"라고 부르는 것을 두 배로 늘리고 있습니다.

“좋은 것 같아 보이는 것 안에 나쁜 것을 숨기는 것을 의미합니다.”라고 그는 설명합니다. "우리는 PayPal과 같은 합법적인 서비스를 스푸핑하는 많은 예를 보았지만 이것은 가짜지만 설득력 있게 보이는 이미지를 포함하는 더 검증된 버전을 사용합니다."

URL 보호를 활용하여 데이터 손실 방지

기업에 대한 공격의 잠재적 영향은 금전적 손실과 데이터 손실이며, 조직은 먼저 사용자에게 이러한 유형의 공격에 대해 교육하고 URL 위에 마우스를 올려 놓고 클릭하기 전에 전체 링크를 보는 것의 중요성을 강조해야 합니다.

Fuchs는 "그 이상으로 공격의 지표로 이와 같은 피싱 기술을 사용하는 URL 보호를 활용하고 URL의 모든 구성 요소를 살펴보고 그 뒤에 있는 페이지를 에뮬레이트하는 보안을 구현하는 것이 중요하다고 생각합니다."라고 말합니다.

모든 사람이 기존 이메일 보안이 그러한 피싱을 잡는 작업에 적합하지 않다는 데 동의하는 것은 아닙니다. Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 많은 이메일 필터가 이러한 캠페인을 포착하여 최악의 경우 스팸으로 표시하거나 악성으로 표시한다고 지적합니다.

그는 스패머들이 스팸 필터를 우회하기 위해 수년 동안 텍스트 대신 이미지를 사용해 왔으며 스팸 필터는 이를 처리하기 위해 진화했다고 지적합니다.

"최근에는 공격이 상당히 흔해졌지만 적어도 내 정크 메일 폴더에 있는 스팸이 어떤 징후가 된다면 특별히 정교한 공격은 아닙니다."라고 그는 덧붙입니다.

하지만 AI 지원 공격은 다른 이야기일 수 있습니다. CardinalOps의 Neray는 고급 이미지 기반 공격에 대처하는 가장 좋은 방법은 대량의 데이터를 사용하여 가짜 이메일을 인식하는 방법을 AI 기반 알고리즘에 훈련시키는 것이라고 말합니다. 다른 모든 사용자가 이메일과 상호 작용한 방식.

타임 스탬프 :

더보기 어두운 독서