Používatelia AI nástrojov skrývajú phishingový kód v súboroch SVG maskovaných ako podnikové grafy.
Škodlivé SVG súbory obsahovali skryté dáta pomocou podnikových výrazov, dekódované skrytými skriptami na krádež dát.
Microsoft pripisuje komplexné maskovanie kódu generovanému pomocou AI, nie typickému malvéru písanému ľuďmi.
Všetci sme už počuli o generatívnej AI používanej na vytváranie presvedčivých phishingových e-mailov. Výskumníci spoločnosti Microsoft teraz objavili kampaň, v ktorej útočníci posunuli používanie AI v phishingu o krok ďalej – s cieľom lepšie skryť škodlivý kód na očiach.
V správe, ktorú zdieľal Microsoft, uviedli, že zaznamenali novú phishingovú kampaň pochádzajúcu z napadnutého e-mailového účtu patriaceho malej firme. Technika nebola ničím mimoriadna – útočníci poslali správu späť na napadnutý účet a zacielili na obete prostredníctvom BCC poľa – čo je štandardná taktika, aby sa vyhli odhaleniu.
Samotný e-mail zdieľal škodlivý súbor, ktorého cieľom bolo získať prihlasovacie údaje ľudí. Bol to SVG súbor maskovaný ako PDF. Ani tu nie je nič nezvyčajné. SVG súbory sú škálovateľné vektorové grafiky používané pre webové obrázky. Keďže podporujú vložené skripty, dajú sa zneužiť na phishing, pretože útočníci môžu skryť škodlivý JavaScript dovnútra, obísť filtre a oklamať používateľov, aby klikli na škodlivé odkazy.
Ale potom sa veci začnú zaujímať.
Unikátna metóda maskovania
Po analýze SVG kódu spoločnosť Microsoft zistila, že jeho metóda maskovania a správania je dosť unikátna.
„Namiesto použitia kryptografického maskovania, ktoré sa bežne používa na maskovanie phishingového obsahu, SVG kód v tejto kampani používal jazyk súvisiaci s podnikaním na zamaskovanie svojej škodlivej aktivity,“ uvádza sa v správe.
Ukázalo sa, že útočníci skryli malvér do SVG súborov tak, že ich upravili, aby vyzerali ako normálne podnikové grafy.
Grafy boli neviditeľné, takže každý, kto otvoril súbor, by videl iba prázdnu grafiku.
Taktiež zakódovali škodlivý kód ako reťazec podnikových slov ako „príjmy“ a „akcie“, a skrytý skript by potom čítal tieto slová, dekódoval ich a premenil na akcie, ako je presmerovanie prehliadača na phishingovú stránku, sledovanie používateľa a zbieranie informácií o prehliadači.
V podstate súbor vyzeral neškodne, ale tajne spúšťal program, ktorý kradol dáta a sledoval aktivitu.
Muselo to byť dielo AI, dodal Microsoft: „Microsoft Security Copilot usúdil, že kód ‚nie je niečo, čo by človek zvyčajne písal od začiatku kvôli jeho komplexnosti, rozsiahlemu používaniu a nedostatku praktického využitia‘.“
