0
0
Os hackers estão se voltando para táticas de ofuscação contando com fotos de publicidade brilhantes da Delta Airlines e da varejista Kohl’s, enganando os usuários para que visitem sites de coleta de credenciais e desistam de informações pessoais.
Uma campanha recente analisada pela Avanan mostrou como os agentes de ameaças escondem links maliciosos por trás de fotos convincentes oferecendo cartões-presente e programas de fidelidade dessas marcas confiáveis. De forma mais ampla, a campanha faz parte de uma tendência maior de cibercriminosos atualizando táticas antigas com novas ferramentas – como IA – que tornam os phishings mais convincentes.
Os pesquisadores da Anan, que apelidaram a técnica de ofuscação de “picture in picture”, observaram que os cibercriminosos por trás dos ataques estão simplesmente vinculando as fotos de marketing a URLs maliciosos. Isso não deve ser confundido com esteganografia, que codifica cargas maliciosas no nível de pixel dentro de uma imagem.
Jeremy Fuchs, pesquisador e analista de segurança cibernética da Avanan, observa que a esteganografia geralmente é super complexa, e “essa é uma maneira muito mais simples de fazer coisas que ainda podem ter o mesmo impacto e é mais fácil para os hackers replicarem em escala”.
Filtros de URL corporativos bloqueados por ofuscação de imagem
Embora simples, a abordagem picture-in-picture torna mais difícil para os filtros de URL captar a ameaça, observaram os pesquisadores da Avana.
“[O e-mail irá] parecer limpo [para os filtros] se eles não estiverem digitalizando dentro da imagem”, de acordo com a análise. “Muitas vezes, os hackers vinculam alegremente um arquivo, imagem ou código QR a algo malicioso. Você pode ver a verdadeira intenção usando OCR para converter as imagens em texto ou analisando códigos QR e decodificando-os. Mas muitos serviços de segurança não fazem ou não podem fazer isso.”
Fuchs explica que o outro benefício fundamental da abordagem é tornar a malícia menos aparente para os alvos.
“Ao vincular a engenharia social à ofuscação, você pode potencialmente apresentar aos usuários finais algo muito tentador para clicar e agir”, diz ele, acrescentando a ressalva de que, se os usuários passarem o mouse sobre a imagem, o link da URL claramente não está relacionado à marca falsificada. “Este ataque é bastante sofisticado, embora o hacker provavelmente perca pontos por não usar uma URL mais original”, disse ele.
Embora o phish lance uma ampla rede de consumidores, as empresas devem estar cientes, uma vez que as comunicações de programas de fidelidade de companhias aéreas geralmente vão para caixas de entrada corporativas; e, na era do trabalho remoto, muitos funcionários estão usando dispositivos pessoais para negócios ou acessando serviços pessoais (como o Gmail) em laptops emitidos pela empresa.
“Em termos de impacto, [a campanha] foi direcionada a um grande número de clientes, em várias regiões”, acrescenta Fuchs. “Embora seja difícil saber quem é o perpetrador, coisas como essa podem ser facilmente baixadas como kits prontos.”
Usando a Gen AI para atualizar táticas antigas
Fuchs diz que a campanha se encaixa em uma das tendências emergentes vistas no cenário de phishing: spoofs que são quase indistinguíveis de versões legítimas. No futuro, o uso de IA generativa (como o ChatGPT) para ajudar táticas de ofuscação quando se trata de ataques de phishing baseados em imagem só tornará esses ataques mais difíceis de detectar, acrescenta.
“É super fácil com IA generativa”, diz ele. “Eles podem usá-lo para desenvolver rapidamente imagens realistas de marcas ou serviços familiares e fazê-lo em escala e sem qualquer conhecimento de design ou codificação.”
Por exemplo, usando apenas prompts do ChatGPT, um pesquisador da Forcepoint recentemente convenceu a IA a criar malware de esteganografia indetectável, apesar de sua diretiva de recusar solicitações maliciosas.
Phil Neray, vice-presidente de estratégia de defesa cibernética da CardinalOps, diz que a tendência de IA é crescente.
“A novidade é o nível de sofisticação que agora pode ser aplicado para fazer com que esses e-mails pareçam ser quase idênticos aos e-mails que você receberia de uma marca legítima”, diz ele. “Como o uso de deepfakes gerados por IA, a IA agora torna muito mais fácil criar e-mails com o mesmo conteúdo textual, tom e imagens de um e-mail legítimo.”
Em geral, os phishers estão dobrando a aposta no que Fuchs chama de “ofuscação dentro da legitimidade”.
“O que quero dizer com isso é esconder coisas ruins no que parece ser coisas boas”, explica. “Embora tenhamos visto muitos exemplos de falsificação de serviços legítimos como o PayPal, isso usa a versão mais testada e verdadeira, que inclui imagens falsas, mas de aparência convincente.”
Aproveitando a proteção de URL para proteger contra perda de dados
As implicações potenciais do ataque para as empresas são perda monetária e perda de dados e, para se defender, as organizações devem primeiro procurar educar os usuários sobre esses tipos de ataques, enfatizando a importância de passar o mouse sobre URLs e olhar para o link completo antes de clicar.
“Além disso, achamos importante aproveitar a proteção de URL que usa técnicas de phishing como esta como um indicador de um ataque, bem como implementar uma segurança que analisa todos os componentes de uma URL e emula a página por trás dela”, observa Fuchs.
Nem todo mundo concorda que a segurança de e-mail existente não está à altura da tarefa de capturar tais phishings. Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, observa que muitos filtros de e-mail pegariam essas campanhas e as marcariam como spam, na pior das hipóteses, ou as sinalizariam como maliciosas.
Ele observa que os spammers usam imagens em vez de texto há anos na esperança de contornar os filtros de spam, e os filtros de spam evoluíram para lidar com eles.
“Embora o ataque tenha sido bastante comum ultimamente, pelo menos se o spam na minha própria pasta de lixo eletrônico for alguma indicação, não é um ataque especialmente sofisticado”, acrescenta.
Os ataques habilitados por IA podem ser uma história diferente. Neray, da CardinalOps, diz que a melhor maneira de combater esses ataques baseados em imagem mais avançados é usar grandes quantidades de dados para treinar algoritmos baseados em IA sobre como reconhecer e-mails falsos – analisando o conteúdo dos próprios e-mails, bem como agregando informações sobre como todos os outros usuários interagiram com os e-mails.
FONTE: DARK READING