Microsoft Tehdit İstihbaratı tarafından tespit edilen yakın tarihli bir kimlik avı kampanyası, kötü niyetli davranışı gizlemek için bir SVG dosyasında AI tarafından oluşturulan kodu kullandı.
Yeni gizleme teknikleri saldırgan ustalığını sergilerken, yapay zeka ile çalışan savunmalar saldırıyı başarıyla engelledi-savunucular analitik stratejileri uyarladığında AI-kabul edilen tehditlerin tespit edilebilir kaldığını söyledi.
18 Ağustos’ta Microsoft Tehdit İstihbaratı, kimlik bilgisi çalma e-postalarını dağıtmak için tehlikeye atılmış bir küçük işletme e-posta hesabından yararlanan hedefli bir kimlik avı kampanyası belirledi.
Saldırganlar, SVG uzantısına rağmen PDF olarak maskelenmek üzere tasarlanmış “23MB- PDF- 6 sayfa.svg” adlı bir dosya ekledi. SVG’ler, JavaScript ve dinamik içeriğin metin tabanlı gömülmesine izin vererek, statik analiz ve kum havuzunu geçebilen sofistike gizlemeyi kolaylaştırarak tehdit aktörleri tarafından giderek daha fazla tercih edilmektedir.
Açıldıktan sonra SVG, kullanıcıları kullanıcı güveni ve şüphe oluşturmayı amaçlayan tanıdık bir sosyal mühendislik taktiği olan CAPTCHA tabanlı bir doğrulama sayfasına yönlendirdi.
Savunucular sahte giriş sayfası görünmeden önce erişimi engellemelerine rağmen, araştırma, SVG’ye gömülü JavaScript’in kimlik bilgilerini hasat etmek için bir kimlik avı açılış sayfasını yeniden inşa edeceğini ortaya koydu.
Tuzak olarak iş terminolojisi
Saldırganlar, standart şifreleme şaşkınlığı kullanmak yerine, yüklerini gizlemek için simüle edilmiş iş-analitik dili kullandılar.
Birincisi, SVG kodu, “iş performansı gösterge tablosu” olarak şekillendirilmiş görünmez öğelerle başladı, grafik çubukları ve sıfır opaklık ve şeffaf dolgularla oluşturulan ay etiketleri – dosyayı inceleyen herkesi yanıltmayı amaçlayan arte artefaktlar.
İkincisi, gerçek yük, gizli bir şekilde depolanan işle ilgili terimlerin (örn., Gelir, operasyonlar, risk, hisse senetleri) uzun bir sırası içinde kodlanmıştır. data-analytics görünmez bir özellik
Gömülü JavaScript daha sonra bu terimleri birden fazla dönüşüm adımı ile işledi, iş terimlerinin dizilerini karakterlere ve talimatlarla eşleştirdi.
Komut dosyası yürütüldükçe, yeniden yönlendirme, tarayıcı parmak izi ve oturum izleme işlevselliğini yeniden yapılandırmak için meta verileri sistematik olarak çözdü – görünüşte zararsız kurumsal jargonun arkasındaki kötü niyetli davranışları etkin bir şekilde gizledi.
Microsoft Security Copilot’un analizi, SVG kodunun, karmaşıklığı, ayrıntılı adlandırma kuralları nedeniyle büyük bir dil modeli tarafından oluşturulduğunu belirledi (örn. processBusinessMetricsf43e08), modüler ama aşırı mühendislik yapısı, genel resmi yorumlar ve XML bildirimlerinin ve cdata sarmalayıcılarının gereksiz şekilde dahil edilmesi.
Bu özellikler, ek algılama sinyalleri sunan tipik AI tarafından oluşturulan kod artefaktlarını göstermektedir.
Bu sistematik yaklaşım, çözümleri aşırı mühendislik ve genelleştirme eğiliminde olan AI/LLM çıktısının karakteristiğidir.
Saldırganların AI’yı gizleme için kullanmasına rağmen, Office 365’in AI güdümlü korumaları için Microsoft Defender, yalnızca yük kodunu denetlemek yerine altyapı, davranış ve mesaj bağlamını analiz ederek kampanyayı engelledi.
Anahtar algılama sinyalleri, BCC alıcılarıyla kendi kendine adresli e-postaları, PDF’ler gibi adlandırılan SVG dosyalarının şüpheli seçimi, bilinen kimlik avı içeriğine bağlı alanlara yönlendirir, jenerik kod gizleme modelleri ve oturum izleme ve parmak izi gibi ağ davranışları.
Benzer AI-Yargıtalık Kimlik Avı Tehditlerine karşı savunmaları desteklemek için kuruluşlar şunları yapmalıdır:
- Tıklama süresi URL doğrulaması için güvenli bağlantılar dahil olmak üzere Office 365 için değişim çevrimiçi koruması ve savunmacı için önerilen ayarları uygulayın.
- Kötü niyetli e-postaları geriye dönük olarak karantina olmak için sıfır saatlik otomatik temizleme (ZAP) etkinleştirin.
- Bilinen kimlik avı sitelerini engellemek için akıllı ekran filtrelemeli tarayıcıların kullanımını teşvik edin.
- Yeni saldırı varyantlarına karşı hızlı savunma için antivirüs çözeltilerinde bulut tarafından verilen korumayı dağıtın.
- Kimlik avlamaya dayanıklı kimlik doğrulama yöntemlerini benimseyin ve kritik uygulamalar için güçlü kimlik doğrulama gerektiren koşullu erişim politikalarını uygulayın.
Düşmanlar AI’yı saldırgan araç setlerine entegre ettikçe, güvenlik ekipleri saldırı modellerine, altyapı özelliklerine ve davranışsal anomalilere odaklanan AI güdümlü analitiklerden yararlanmaya devam etmelidir.
AI tarafından üretilen gizleme gelişebilir, ancak algılamayı kod sözdiziminin ötesinde kimlik avı taktiklerinin daha geniş bağlamına kaydırarak, savunucular ortaya çıkan tehditlerin önünde kalabilirler.
Uzlaşma göstergeleri
İşte bilgiler tablo formunda:
| Gösterge | Tip | Tanım | İlk görüldü | Son görüldü |
|---|---|---|---|---|
| KMNL[.]CPFCENTERS[.]ile ilgili | İhtisas | Domain Hosting Kimlik avı içeriği | 08/18/2025 | 08/18/2025 |
| 23MB- PDF- 6 sayfa[.]SVG | Dosya adı | SVG ekinin dosya adı | 08/18/2025 | 08/18/2025 |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.