Multi factor... social engineering

Már többen is felvetették, hogy a különböző AI megoldások mennyire kétélű fegyverek lehetnek, mert védekezésben és támadásban is használható.
Nos, nemrég láttam egy megoldást, amit már a ChatGPT kreált és néhány jeltől eltekintve, sokkal jobb phishing szöveget kreáltak a támadók az AI segítségével, mint eddig.

Multi factor social engineering

A trükk további különlegessége, hogy nem rontanak ránk azonnal a támadók, hanem a korábbiaknál sokkal nagyobb türelmet bemutatva elhúzzák a mézes madzagot a lehetséges áldozatok orra előtt. A korábban megszokottól eltérően nincs direkt sürgetés, az egész email inkább tűnik marketingnek, semmint kamunak (feltéve, ha figyelmen kívül hagyjuk a küldő domaint - de erről később). Nincsenek linkek, nincsenek hamisított ikonok - semmi olyan jel, ami a korábbi phishing emailekre jellemző volt.

A feketeleves akkor jön, amikor válaszolunk az emailre, amely szerint érdekel minket a marketing ajánlat. Ezzel egyrészt megerősítjük, hogy az email fiókunk tényleg létezik és használatban van, másrészt az érkező csatolmány egy 650 MB-nál nagyobb zip állomány. Önmagában a zip állomány, ha jelszóvédett, lehetetlenné teszi az egyszerű malware-keresést, a CD méretnél nagyobb pedig kiüti a VirusTotalt is.
Kibontás után a nagyobbik file valamilyen dokumentumformátum ikonjának mutatja magát, a gyanútlan kattintás pedig végzetes. Ha azonban kattintás helyett valamilyen hex editorban megnyitjuk az állományt, akkor azt találhatjuk, hogy a file nagy része üres, semmilyen információt nem tartalmaz, továbbá a fejléc információk arról is tanúskodnak, hogy végrehajtható állománnyal van dolgunk a mimikált dokumentumformátum helyett ("This program cannot be run in DOS mode"). Ha további elemzés céljából szeretnénk kimenteni a file lényegi részét, ez minden további nélkül megtehető, de nagyon nyomatékosan felhívom a figyelmet: kellő felkészültség nélkül ne álljunk neki! Csak egy apró hiba a malware analysis VM beállításai között és rosszabb esetben akár a teljes hálózatunkat is megfertőzhetjük.

Védekezés

Természetesen a védekezés nagyon hasonló a korábbi lépésekhez, de a támadók igyekeznek minden eszközt kivenni a kezünkből. A küldő domain egy lehetséges azonosítási pont. Az email kliens adott esetben itt is mutathat valamilyen hamisított információt, de az email fejléc információi között ott lesz a valóság. Továbbá, ha nem várunk emailt a felbukkanó tartalommal, azonnal gyanakvással forduljunk az email felé. Mindezeken túl, ha lementjük a hamis file lényegi részét, azzal már mehetünk a VirusTotalra, mert lényegesen kisebb lesz, mint a VT határmérete. A levél nyelvezete is adhat kapaszkodót - hibák, furcsa szavak, eltévesztett kifejezések is ugyanúgy segítenek, mint korábban.

Alább látható egy példa, köszönettel tartozom a "The PC Security Channel"-nek az információkért.

CoreSec
2023.08.13