Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Saldırganlar vektör görüntüsünde kötü amaçlı yazılımları sakladı
Rashmi Ramesh (Rashmiramesh_) •
24 Eylül 2025
Microsoft, bir kimlik avı kampanyasının arkasındaki bilgisayar korsanlarının, aşırı karmaşık ve işe yaramaz bir kod duvarının arkasına kötü amaçlı yazılım gizlemek için yapay zeka tarafından oluşturulan kod kullandığı görülüyor.
Ayrıca bakınız: Ondemand | AI ile çalışan siber saldırılar tehdidinde gezin
Bilgisayar devi Çarşamba günü yaptığı açıklamada, kendi AI aracı aracılığıyla kimlik bilgisi kimlik avı kötü amaçlı yazılımından culled kodunu çalıştırdığını söyledi. Microsoft Security Copilot, kodu “bir insanın karmaşıklığı, dayanağı ve pratik fayda eksikliği nedeniyle tipik olarak sıfırdan yazacağı bir şey değil” olarak ilan etti.
Saldırı, gönderen ve alıcı adreslerinin eşleştiği bir kendi kendine adresi taktiği kullanan kimlik avı e-postaları ile başladı, gerçek hedefler BCC alanında temel algılama sistemlerini atlamak için gizlendi. E-postalar, SVG dosya uzantısına rağmen meşru PDF belgeleri olarak görünecek şekilde tasarlanmış “23MB- PDF- 6 sayfa.svg” adlı eklerle dosya paylaşım bildirimlerine benzemek için hazırlanmış mesajlar içeriyordu.
Vektör görüntü dosyaları, kullanıcılara ve güvenlik araçlarına iyi huylu görünürken etkileşimli kimlik avı yükleri sağlayabilen gömülü JavaScript ve dinamik içeriklere izin veren metin tabanlı ve komut dosyası olabilirler çünkü saldırganlara avantajlar sunar. Biçim, görünmez öğeler, kodlanmış öznitelikler ve statik analiz ve kum havuzundan kaçabilecek gecikmiş komut dosyası yürütme gibi gizleme dostu özellikleri destekler.
Bir hedef SVG dosyasını açarsa, bunları güven ve şüphe oluşturmak için tasarlanmış bir sosyal mühendislik taktiği olan güvenlik doğrulaması için bir Captchas’ın tamamlanmasını isteyen bir web sayfasına yönlendirdi. Microsoft’un görünürlüğü ilk açılış sayfasıyla sınırlıydı, ancak araştırmacılar kampanyanın muhtemelen sahte oturum açma sayfaları sunacağını değerlendirdi.
Microsoft’un SVG kodu analizi, bu kampanyayı tipik kimlik avı girişimlerinden ayıran benzersiz gizleme yöntemleri gösterdi. Hacker, kimlik avı içeriğini gizlemek için yaygın olarak kullanılan kriptografik gizlemeyi kullanmak yerine, iki temel teknikle kötü niyetli etkinlikleri gizlemek için işle ilgili dili kullandılar.
Bilgisayar korsanları, grafik çubukları ve ay etiketleri de dahil olmak üzere sözde iş performansı gösterge tablosu için öğeler içeren meşru bir iş analizi kontrol paneline benzemek için SVG kodunun başlangıcını yapılandırdı. Opaklıklarını sıfıra ve şeffaf olarak doldurarak elementleri görünmez hale getirdiler, gündelik muayeneyi yanıltmak için tasarlanmış bir tuzak oluşturdular, ancak SVG’nin yalnızca iş verilerini görselleştirmeye odaklandığını gösterdiler.
Saldırganlar, araştırmacıların iş terminolojisinin “yaratıcı” kullanımı olarak adlandırdıklarını kullanarak yükün işlevselliğini gizledi. Saldırganlar, kötü niyetli kodu, “gelir”, “işlemler”, “risk” veya “paylaşımlar” dahil olmak üzere işle ilgili bir dizi terim kullanarak sakladı ve bu kelimeleri kullanıcıların göremediği dosyanın gizli bir bölümüne yerleştirdi.
Gömülü JavaScript, bu işle ilgili kelimeleri dönüşüm adımları yoluyla işledi ve bilgisayar korsanları, çiftleri veya iş terimlerinin dizilerini belirli karakterlere veya talimatlarla eşleştirerek yükü kodladı. Komut dosyası yürütüldüğünde, diziyi çözdü ve tarayıcı yeniden yönlendirme, parmak izi ve oturum takibi dahil olmak üzere zararsız iş meta verileri gibi gizli işlevselliği yeniden inşa etti.
Güvenlik Copilot, kodun muhtemelen sentetik olduğunu ve muhtemelen bir LLM veya araç tarafından oluşturulduğunu belirledi, genellikle manuel olarak yazılmış komut dosyalarında görülmeyen karmaşıklık ve söz konusu.
AI analiz aracı, AI kodunun beş temel göstergesini tanımladı. İşlev ve değişken adları, tanımlayıcı İngilizce terimlerini rastgele harf numarası kodlarıyla birleştirerek, AI tarafından oluşturulan kodun tipik bir adlandırma stili olan tutarlı kalıpları izledi. Kod yapısı, AI çıktısını karakterize eden sistematik yaklaşımı gösteren benzer mantık modellerinin tekrar tekrar kullanımı ile yüksek oranda organize edilmiştir. Gömülü yorumlar, “Gelişmiş İş Zekası Veri İşlemcisi” gibi resmi iş dili kullanılarak kelimesi ve genel idi. Saldırganlar saklanma tekniklerini AI kodu oluşturma stilleriyle eşleşen hem kapsamlı hem de formülsel yollarla uyguladılar. Dosya ayrıca, uygun biçimlendirme kurallarına uymayı amaçlayan AI tarafından yazılmış kodda daha yaygın olan teknik öğeleri de içeriyordu.
Microsoft, saldırganın AI kullanımından büyük ölçüde etkilenmeyen altyapı, davranış ve mesaj bağlamındaki sinyalleri analiz ederek kampanyayı tespit ettiğini ve engellediğini söyledi. AI tarafından üretilen saldırılar hala aynı temel kalıpları takip ediyor ve insan tarafından oluşturulan saldırılarla aynı altyapıyı kullanıyor ve bu da onları mevcut güvenlik yöntemleri aracılığıyla tespit edilebilir hale getiriyor.