Siber suçlular, güvenlik araştırmacıları tarafından yakın zamanda ortaya çıkarılan sofistike bir kimlik avı kampanyasında gösterildiği gibi, saldırı yeteneklerini geliştirmek için giderek yapay zekaya yöneliyor.
Kampanya, meşru iş belgeleri içindeki kötü niyetli yükleri gizlemek için AI tarafından üretilen kod kullanan kötü amaçlı yazılım gizleme tekniklerinde önemli bir evrimi temsil ediyor.
Bu gelişme, saldırganların savunucuların örgütleri korumak için kullandıkları aynı AI teknolojilerinden yararlandığı tehdit ortamındaki bir değişime işaret ediyor.
Öncelikle ABD tabanlı kuruluşları hedefleyen kampanya, geleneksel şifreleme gizleme yöntemlerinden ayrılan yük gizlemesine benzersiz bir yaklaşım kullandı.
Geleneksel şifreleme tekniklerine güvenmek yerine, tehdit aktörleri, meşru iş analizi panolarını taklit eden ve kötü niyetli işlevselliği maskelemek için iş terminolojisini kullanan karmaşık kod yapıları üretmek için AI kullandılar.
.webp)
Bu yaklaşımın karmaşıklığı, hem otomatik algılama sistemlerinden hem de insan analizinden kaçınmak için kasıtlı bir girişim olduğunu göstermektedir.
Microsoft araştırmacıları, tipik insan hazırlanmış kötü amaçlı yazılımlarla tutarsız özellikler sergileyen şüpheli e-posta etkinliklerini tespit ettikten sonra kampanyayı belirledi.
Analiz, kötü niyetli kodun, yapısal yardımını güçlü bir şekilde gösteren karmaşıklık, köşe ve yapısal kalıplar gösterdiğini ortaya koydu.
Microsoft Security Copilot’un değerlendirmesi, kodun “bir insanın karmaşıklığı, dayanak ve pratik fayda eksikliği nedeniyle tipik olarak sıfırdan yazacağı bir şey olmadığı” sonucuna varmıştır.
.webp)
Saldırı vektörü, kullanıcı kimlik bilgilerini çalmak için tasarlanmış kimlik avı mesajlarını dağıtmak için tehlikeye atılmış küçük işletme e -posta hesaplarından yararlandı.
Saldırganlar, kendinden adresli bir e-posta taktiği kullandılar, burada gönderen ve alıcı adresleri eşleşirken gerçek hedefler BCC alanında gizli kaldı ve temel algılama sezgisel yöntemlerini atlamaya çalıştı.
E-posta içeriği, dosya paylaşım bildirimlerine benzemek için özenle hazırlandı ve alıcıları kötü niyetli ekle etkileşime girmeye teşvik edecek bir meşruiyet görünümü yarattı.
Kampanyanın başarısının merkezinde, birincil saldırı aracı olarak SVG (ölçeklenebilir vektör grafikleri) dosyalarını kullanması oldu. “23MB- PDF- 6 sayfa.svg” adlı kötü amaçlı dosya, SVG uzantısına rağmen meşru bir PDF belgesi olarak görünecek şekilde tasarlanmıştır.
Bu seçim, SVG dosyaları metin tabanlı ve komut dosyası olduğu için stratejik olduğunu kanıtladı ve saldırganların iyi huylu grafik dosyalarının görünümünü korurken JavaScript ve diğer dinamik içeriği doğrudan dosya yapısına yerleştirmesine izin verdi.
İş Terminolojisi Gizli Tekniği
Bu kampanyanın en yenilikçi yönü, geleneksel kötü amaçlı yazılım gizleme tekniklerinden ayrılmayı temsil eden sofistike gizleme metodolojisinde yatmaktadır.
Saldırganlar, geleneksel şifreleme gizlemesi kullanmak yerine, işle ilgili terminoloji ve sentetik organizasyon yapıları kullanarak kötü niyetli işlevselliği sistematik olarak gizleyen kod oluşturmak için AI kullandı.
SVG dosyasının başlangıç yapısı, grafik çubukları, ay etiketleri ve analitik unsurlarla birlikte meşru bir iş performansı kontrol paneline benzemek için titizlikle hazırlanmıştır.
Bununla birlikte, bu bileşenler sıfır ve şeffaf dolgu özellikleri opaklık ayarları ile kullanıcılar için tamamen görünmez hale getirildi.
Bu aldatıcı katman, dosyanın gerçek kötü niyetli amacını gizlerken, gündelik muayeneyi yanıltmak için tasarlanmış bir tuzak görevi gördü.
Business Performance Dashboard
Yükün temel işlevselliği, kapsamlı bir işle ilgili terimler dizisini kullanan sofistike bir kodlama şeması içinde gizlenmiştir.
“Gelir”, “operasyonlar”, “risk” ve “paylaşımlar” gibi kelimeler, SVG yapısındaki görünmez bir metin öğesinin gizli bir veri analitik niteliğinde birleştirildi.
Bu yaratıcı yaklaşım, zararsız iş meta verileri gibi görünen şeyi fonksiyonel kötü amaçlı kodlara dönüştürdü.
Gömülü JavaScript, bu işle ilgili terimleri sistematik olarak çoklu dönüşüm adımı, çiftleri veya terim dizilerini belirli karakterlere veya talimatlarla eşleme ile işledi.
Komut dosyası yürütüldükçe, diziyi çözdü ve tarayıcı yeniden yönlendirmesini, parmak izini ve oturum izleme özelliklerini sağlayarak gizli işlevselliği yeniden inşa etti.
Bu metodoloji, yapay zeka tarafından üretilen şaşkınlığın, fonksiyonel etkinliği korurken yük gizlemesi için nasıl tamamen yeni paradigmalar yaratabileceğini gösterdi.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
