'Picture-in-Picture' Obfuscation Spoofs Delta, Kohl's For Credential Harvesting

Heruitgegeven door Plato

volgers: 0

Hackers wenden zich tot verduisteringstactieken die vertrouwen op glanzende reclamefoto's van Delta Airlines en detailhandelaar Kohl's, gebruikers misleiden om sites voor het verzamelen van referenties te bezoeken en persoonlijke informatie op te geven.

A recente campagne geanalyseerd door Avanan toonde aan hoe aanvallers kwaadaardige links verbergen achter overtuigende foto's die cadeaubonnen en loyaliteitsprogramma's van dergelijke vertrouwde merken aanbieden. Meer in het algemeen maakt de campagne deel uit van een grotere trend waarbij cybercriminelen oude tactieken updaten met nieuwe tools, zoals AI, die phishing overtuigender maken.

Avanan-onderzoekers, die de verduisteringstechniek 'beeld-in-beeld' noemden, merkten op dat de cybercriminelen achter de aanvallen simpelweg de marketingfoto's koppelen aan kwaadaardige URL's. Dit moet niet worden verward met steganografie, dat schadelijke payloads codeert op pixelniveau in een afbeelding.

Jeremy Fuchs, cybersecurity-onderzoeker en analist bij Avanan, merkt dat op steganografie is vaak supercomplex, en "dit is een veel eenvoudigere manier om dingen te doen die nog steeds dezelfde impact kunnen hebben en die hackers gemakkelijker op schaal kunnen repliceren."

Zakelijke URL-filters belemmerd door verduistering van afbeeldingen

Hoewel eenvoudig, maakt de beeld-in-beeld-benadering het moeilijker voor URL-filters om de dreiging op te pikken, merkten onderzoekers van Avanan op.

"[De e-mail zal] er schoon uitzien [voor filters] als ze niet in de afbeelding scannen", aldus de analyse. “Vaak koppelen hackers graag een bestand, afbeelding of QR-code aan iets kwaadaardigs. U kunt de ware bedoeling zien door OCR te gebruiken om de afbeeldingen naar tekst te converteren of door QR-codes te ontleden en te decoderen. Maar veel veiligheidsdiensten doen of kunnen dat niet.”

Fuchs legt uit dat het andere belangrijke voordeel van de aanpak is dat de kwaadaardigheid minder duidelijk wordt voor doelen.

"Door social engineering te koppelen aan verduistering, kun je eindgebruikers potentieel iets heel verleidelijks aanbieden om op te klikken en actie te ondernemen", zegt hij, eraan toevoegend dat als gebruikers over de afbeelding bewegen, de URL-link duidelijk niet gerelateerd is aan het vervalste merk. "Deze aanval is redelijk geavanceerd, hoewel de hacker waarschijnlijk punten verliest door geen originelere URL te gebruiken", zei hij.

Hoewel de phish een breed consumentennet uitwerpt, moeten bedrijven zich ervan bewust zijn dat communicatie over loyaliteitsprogramma's van luchtvaartmaatschappijen vaak in de inbox van bedrijven terechtkomt; en in het tijdperk van werken op afstand, gebruiken veel werknemers persoonlijke apparaten voor zaken of gebruiken ze persoonlijke diensten (zoals Gmail) op zakelijke laptops.

"Qua impact was [de campagne] gericht op een groot aantal klanten, in meerdere regio's", voegt Fuchs toe. "Hoewel het moeilijk is om te weten wie de dader is, kunnen dit soort dingen vaak gemakkelijk worden gedownload als kant-en-klare kits."

Gen AI gebruiken om oude tactieken bij te werken

Fuchs zegt dat de campagne aansluit bij een van de opkomende trends in het phishinglandschap: spoofs die bijna niet te onderscheiden zijn van legitieme versies. In de toekomst zal het gebruik van generatieve AI (zoals ChatGPT) om verduisteringstactieken te ondersteunen als het gaat om op afbeeldingen gebaseerde phishing-aanvallen, deze alleen maar moeilijker te herkennen maken, voegt hij eraan toe.

"Het is supergemakkelijk met generatieve AI", zegt hij. "Ze kunnen het gebruiken om snel realistische afbeeldingen van bekende merken of diensten te ontwikkelen en doen dit op schaal en zonder kennis van ontwerp of codering."

Bijvoorbeeld door alleen ChatGPT-prompts te gebruiken, een Forcepoint-onderzoeker onlangs overtuigd de AI in het bouwen van niet-detecteerbare steganografische malware, ondanks zijn richtlijn om kwaadwillende verzoeken te weigeren.

Phil Neray, vice-president cyberdefensiestrategie bij CardinalOps, zegt dat de AI-trend een groeiende trend is.

"Wat nieuw is, is het niveau van verfijning dat nu kan worden toegepast om deze e-mails bijna identiek te laten lijken aan e-mails die u van een legitiem merk zou ontvangen", zegt hij. “Zoals het gebruik van AI-gegenereerde deepfakes, maakt AI het nu veel gemakkelijker om e-mails te maken met dezelfde tekstuele inhoud, toon en afbeeldingen als een legitieme e-mail.”

Over het algemeen verdubbelen phishers wat Fuchs 'verduistering binnen legitimiteit' noemt.

"Wat ik daarmee bedoel, is het verbergen van slechte dingen in wat op goede dingen lijkt", legt hij uit. "Hoewel we veel voorbeelden hebben gezien van spoofing van legitieme services zoals PayPal, gebruikt dit de meer beproefde versie, die valse, maar overtuigend ogende afbeeldingen bevat."

Gebruikmaken van URL-beveiliging om te beschermen tegen gegevensverlies

De potentiële implicaties van de aanval voor bedrijven zijn geldelijk verlies en gegevensverlies. Om zichzelf te verdedigen, moeten organisaties eerst proberen gebruikers voor te lichten over dit soort aanvallen, waarbij ze benadrukken hoe belangrijk het is om de muisaanwijzer op URL's te plaatsen en de volledige link te bekijken voordat ze klikken.

"Daarnaast vinden we het belangrijk om gebruik te maken van URL-beveiliging die phishing-technieken zoals deze gebruikt als indicator voor een aanval, en om beveiliging te implementeren die naar alle componenten van een URL kijkt en de pagina erachter emuleert", merkt Fuchs op.

Niet iedereen is het erover eens dat de bestaande e-mailbeveiliging niet opgewassen is tegen dergelijke phishes. Mike Parkin, senior technisch ingenieur bij Vulcan Cyber, merkt op dat veel e-mailfilters deze campagnes zouden opvangen en in het ergste geval als spam zouden markeren, of als kwaadaardig zouden markeren.

Hij merkt op dat spammers al jaren afbeeldingen gebruiken in plaats van tekst in de hoop spamfilters te omzeilen, en spamfilters zijn geëvolueerd om hiermee om te gaan.

"Hoewel de aanval de laatste tijd vrij vaak voorkomt, tenminste als de spam in mijn eigen map met ongewenste e-mail een indicatie is, is het geen bijzonder geavanceerde aanval", voegt hij eraan toe.

AI-aanvallen kunnen echter een ander verhaal zijn. Neray van CardinalOps zegt dat de beste manier om die meer geavanceerde, op afbeeldingen gebaseerde aanvallen te bestrijden, is om grote hoeveelheden gegevens te gebruiken om op AI gebaseerde algoritmen te trainen in het herkennen van nep-e-mails - door de inhoud van de e-mails zelf te analyseren en door informatie over hoe alle andere gebruikers met de e-mails hebben gereageerd.

Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
De toekomst slaan met Adryenn Ashley. Toegang hier.
Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
Bron: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting

Tijdstempel: 2 June 2023

Tijdstempel: September 28, 2022

Heruitgegeven door Plato

Het dark web breidt zich uit (evenals de waarde van monitoring)

Nationale Garde Cyber Forces 'Surging' om staten te helpen bij het beschermen van tussentijdse verkiezingen

De 3 vragen die CISO's moeten stellen om hun gevoelige gegevens te beschermen

Edgeless Systems haalt $ 5 miljoen op om vertrouwelijk computergebruik te bevorderen

InterVision kondigt onderzoek aan waarin Ransomware wordt geïdentificeerd als de grootste bedreiging voor de levensduur van bedrijven

Noem die Toon: Shiver Me Timbers!

Ontwikkelaar lekt LockBit 3.0 Ransomware-Builder-code

Safari-zijkanaalaanval maakt browserdiefstal mogelijk

Snelle bedrijfs-CMS-hack roept beveiligingsvragen op

Over Ons

Verticaal zoeken & Ai

Platform

Blijf verbonden

Account