Ofuscação 'Picture-in-Picture' imita Delta, Kohl's para coleta de credenciais

Os hackers estão recorrendo a táticas de ofuscação com base em fotos de publicidade brilhantes da Delta Airlines e da varejista Kohl's, enganando os usuários para que visitem sites de coleta de credenciais e forneçam informações pessoais.

A campanha recente analisados ​​por Avanan mostraram como os agentes de ameaças escondem links maliciosos por trás de fotos convincentes que oferecem vales-presente e programas de fidelidade de marcas confiáveis. De forma mais ampla, a campanha faz parte de uma tendência maior de cibercriminosos atualizando táticas antigas com novas ferramentas – como IA – que torna os phishes mais convincentes.

Os pesquisadores da Avanan, que apelidaram a técnica de ofuscação de “picture in picture”, observaram que os cibercriminosos por trás dos ataques estão simplesmente vinculando as fotos de marketing a URLs maliciosos. Isso não deve ser confundido com a esteganografia, que codifica cargas maliciosas no nível do pixel dentro de uma imagem.

Jeremy Fuchs, pesquisador de segurança cibernética e analista da Avanan, observa que a esteganografia costuma ser supercomplexa, e “essa é uma maneira muito mais simples de fazer coisas que ainda podem ter o mesmo impacto e é mais fácil para os hackers replicarem em escala”.

Filtros de URL corporativos bloqueados pela ofuscação de imagens

Embora simples, a abordagem picture-in-picture torna mais difícil para os filtros de URL detectar a ameaça, observaram os pesquisadores da Avanan.

“[O e-mail] parecerá limpo [para os filtros] se não estiver digitalizando dentro da imagem”, de acordo com a análise. “Muitas vezes, os hackers vinculam um arquivo, imagem ou código QR a algo malicioso. Você pode ver a verdadeira intenção usando OCR para converter as imagens em texto ou analisando códigos QR e decodificando-os. Mas muitos serviços de segurança não fazem ou não podem fazer isso.”

Fuchs explica que o outro benefício importante da abordagem é tornar a malícia menos aparente para os alvos.

“Ao vincular a engenharia social à ofuscação, você pode apresentar aos usuários finais algo muito tentador para clicar e agir”, diz ele, acrescentando a ressalva de que, se os usuários passarem o mouse sobre a imagem, o link da URL claramente não está relacionado a a marca falsificada. “Esse ataque é bastante sofisticado, embora o hacker provavelmente perca pontos por não usar uma URL mais original”, disse ele.

Embora o phishing atinja uma ampla rede de consumidores, as empresas devem estar cientes, pois as comunicações do programa de fidelidade das companhias aéreas geralmente vão para as caixas de entrada corporativas; e em a era do trabalho remoto, muitos funcionários estão usando dispositivos pessoais para negócios ou acessando serviços pessoais (como o Gmail) em laptops fornecidos pela empresa.

“Em termos de impacto, [a campanha] foi direcionada a um grande número de clientes, em várias regiões”, acrescenta Fuchs. “Embora seja difícil saber quem é o perpetrador, coisas como essa podem ser facilmente baixadas como kits prontos para usar.”

Usando Gen AI para atualizar táticas antigas

Fuchs diz que a campanha se encaixa em uma das tendências emergentes observadas no cenário do phishing: falsificações quase indistinguíveis das versões legítimas. No futuro, o uso de IA generativa (como o ChatGPT) para ajudar nas táticas de ofuscação quando se trata de ataques de phishing baseados em imagens só os tornará mais difíceis de detectar, acrescenta.

“É super fácil com IA generativa”, diz ele. “Eles podem usá-lo para desenvolver rapidamente imagens realistas de marcas ou serviços familiares e fazê-lo em escala e sem nenhum conhecimento de design ou codificação”.

Por exemplo, usando apenas prompts do ChatGPT, um pesquisador do Forcepoint recentemente convencido a IA para criar malware de esteganografia indetectável, apesar de sua diretiva de recusar solicitações maliciosas.

Phil Neray, vice-presidente de estratégia de defesa cibernética da CardinalOps, diz que a tendência da IA ​​é crescente.

“O que há de novo é o nível de sofisticação que agora pode ser aplicado para fazer com que esses e-mails pareçam quase idênticos aos e-mails que você receberia de uma marca legítima”, diz ele. “Como o uso de deepfakes gerados por IA, a IA agora torna muito mais fácil criar e-mails com o mesmo conteúdo textual, tom e imagens de um e-mail legítimo.”

Em geral, os phishers estão apostando no que Fuchs chama de “ofuscação dentro da legitimidade”.

“O que quero dizer com isso é esconder coisas ruins no que parecem coisas boas”, explica ele. “Embora tenhamos visto muitos exemplos de falsificação de serviços legítimos como o PayPal, isso usa a versão mais testada e comprovada, que inclui imagens falsas, mas de aparência convincente.”

Aproveitando a proteção de URL para proteger contra perda de dados

As possíveis implicações do ataque para as empresas são perda monetária e perda de dados e, para se defender, as organizações devem primeiro procurar educar os usuários sobre esses tipos de ataques, enfatizando a importância de passar o mouse sobre as URLs e ver o link completo antes de clicar.

“Além disso, achamos importante aproveitar a proteção de URL que usa técnicas de phishing como esta como um indicador de ataque, bem como implementar segurança que analisa todos os componentes de uma URL e emula a página por trás dela”, observa Fuchs.

Nem todos concordam que a segurança de e-mail existente não está à altura da tarefa de capturar esses phishes. Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, observa que muitos filtros de e-mail capturam essas campanhas e as marcam como spam, na pior das hipóteses, ou as sinalizam como maliciosas.

Ele observa que os spammers usam imagens em vez de texto há anos na esperança de contornar os filtros de spam, e os filtros de spam evoluíram para lidar com eles.

“Embora o ataque tenha sido bastante comum ultimamente, pelo menos se o spam em minha própria pasta de lixo eletrônico for uma indicação, não é um ataque especialmente sofisticado”, acrescenta ele.

Ataques habilitados para IA podem ser uma história diferente. Neray, da CardinalOps, diz que a melhor maneira de combater esses ataques baseados em imagens mais avançados é usar grandes quantidades de dados para treinar algoritmos baseados em IA para reconhecer e-mails falsos - analisando o conteúdo dos próprios e-mails e agregando informações sobre como todos os outros usuários interagiram com os e-mails.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
• Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
• Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
• Fonte: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting