Microsoft, öncelikle yükleri gizlemek ve güvenlik savunmalarından kaçmak için büyük dil modelleri (LLMS) kullanılarak oluşturulan kodu kullanan ABD tabanlı kuruluşlara yönelik yeni bir kimlik avı kampanyasına dikkat çekiyor.
Microsoft Tehdit İstihbarat Ekibi geçen hafta yayınlanan bir analizde, “Büyük bir dil modeli (LLM) tarafından destekleniyor gibi görünen etkinlik, bir SVG dosyasındaki davranışını gizledi, iş terminolojisini ve kötü niyetli niyetini gizlemek için sentetik bir yapıdan yararlandı.” Dedi.
28 Ağustos 2025’te tespit edilen etkinlik, tehdit aktörlerinin genellikle daha ikna edici kimlik avı yemleri hazırlamak, kötü amaçlı yazılımların gizlenmesini ve meşru içeriği taklit eden kod üretmek amacıyla yapay zeka (AI) araçlarını iş akışlarına nasıl daha fazla benimsediklerini göstermektedir.
Windows Maker tarafından belgelenen saldırı zincirinde, kötü aktörler, kurbanların kimlik bilgilerini çalmak için kimlik avı mesajları göndermek için zaten tehlikeye atılmış bir iş e -posta hesabından yararlandılar. Mesajlar, görünüşte bir PDF belgesi gibi görünen şeyi açmak için bir dosya paylaşım bildirimi olarak maskelenen lure içerir, ancak gerçekte ölçeklenebilir bir vektör grafikleri (SVG) dosyasıdır.
Mesajlar hakkında dikkate değer olan, saldırganların, gönderen ve alıcı adreslerinin eşleştiği ve gerçek hedeflerin temel algılama sezgiselliklerini atlamak için BCC alanında gizlendiği kendi kendine adresli bir e-posta taktikinden yararlanmasıdır.
Microsoft, “SVG dosyaları (ölçeklenebilir vektör grafikleri) saldırganlar için caziptir, çünkü metin tabanlı ve komut dosyası olabilirler, bu da JavaScript’i ve diğer dinamik içeriği doğrudan dosya içine yerleştirmelerine izin verir.” Dedi. “Bu, hem kullanıcılara hem de birçok güvenlik aracı için iyi huylu görünen etkileşimli kimlik avı yükleri sunmayı mümkün kılar.”
Bunun da ötesinde, SVG dosya biçiminin görünmez öğeler, kodlanmış öznitelikler ve gecikmiş komut dosyası yürütme gibi özellikleri desteklediği gerçeği, statik analiz ve kum havuzunu sınırlamak isteyen rakipler için ideal hale getirir.
SVG dosyası, başlatıldıktan sonra, kullanıcıyı güvenlik doğrulaması için bir CAPTCHA’ya hizmet veren bir sayfaya yönlendirir ve bunları tamamlayarak, muhtemelen kimlik bilgilerini toplamak için sahte bir giriş sayfasına götürülür. Microsoft, sistemlerinin tehdidi işaretlemesi ve etkisiz hale getirmesi nedeniyle kesin bir sonraki aşamanın belirsiz olduğunu söyledi.
Ancak saldırının durduğu yerlerde, SVG dosyasındaki kimlik avı içeriğini gizlemek için işle ilgili dil kullanan alışılmadık gizleme yaklaşımı söz konusu olduğunda-bir LLM kullanılarak oluşturulmuş olabileceğinin bir işareti.
Microsoft, “İlk olarak, SVG kodunun başlangıcı meşru bir iş analizi gösterge panosuna benzeyecek şekilde yapılandırıldı.” Dedi. “Bu taktik, dosyayı rahatça inceleyen herkesi yanıltmak için tasarlanmıştır, bu da SVG’nin tek amacı iş verilerini görselleştirmek gibi görünmesini sağlar. Gerçekte, bu bir tuzaktır.”
İkinci husus, kullanıcıları ilk kimlik avı açılış sayfasına yönlendirmek, tarayıcı parmak izini tetiklemek ve oturum izlemeyi başlatan temel işlevselliğin de gelir, operasyon, risk, üç aylık, büyüme veya hisse gibi işle ilgili uzun bir terimler kullanılarak gizlenmesidir.
Microsoft, kodu güvenlik kopyasına karşı çalıştırdığını söyledi, bu da programın “bir insanın karmaşıklığı, sözlü olması ve pratik fayda eksikliği nedeniyle genellikle sıfırdan yazacağı bir şey olmadığını” söyledi. Sonuç olarak var olan bazı göstergelerden bazıları –
- İşlevler ve değişkenler için aşırı tanımlayıcı ve gereksiz adlandırma
- Yüksek modüler ve aşırı mühendislik kod yapısı
- Jenerik ve ayrıntılı yorumlar
- İş terminolojisini kullanarak gizlemeyi başarmak için formül teknikleri
- SVG dosyasında cdata ve xml bildirimi, muhtemelen dokümantasyon örneklerini taklit etmek amacıyla
Microsoft, “Bu kampanya kapsamı sınırlı ve etkili bir şekilde engellenmiş olsa da, benzer teknikler bir dizi tehdit aktörü tarafından giderek daha fazla kullanılmaktadır.” Dedi.
İfşa, ForcePoint olarak, Xworm sıçanını ikincil bir yükle dağıtırken, aynı zamanda boş veya bozuk bir ofis dosyasını bir ruse olarak görüntülerken. İkincil yük, bellekte bir .dll dosyası yüklemek için bir kanal olarak işlev görür.
Forcepoint, “İkinci aşama .dll dosyası, çok gizli paketleme ve şifreleme teknikleri kullanıyor.” Dedi. “Bu ikinci aşama .dll dosyası, kötü amaçlı yazılımların nihai yürütülmesinden daha fazla sorumlu olan yansıtıcı DLL enjeksiyonu kullanarak başka bir .dll dosyasını tekrar yükledi.”
“Bir sonraki ve son adım, kendi ana yürütülebilir dosyasında bir proses enjeksiyonu gerçekleştirir, kalıcılığı koruyarak ve verileri komut ve kontrol sunucularına sürdürür. Verilerin de açıklandığı C2’lerin Xworm ailesiyle ilişkili olduğu bulunmuştur.”
Son haftalarda, kimlik avı saldırıları, ABD Sosyal Güvenlik İdaresi ve Screenconect Connectwise ve Cofense başına sırasıyla Lone None Stealer ve Purelogs Stealer gibi bilgi çalmacılarını dağıtmak için telif hakkı ihlali ile ilgili yemleri kullanmıştır.
E-posta güvenlik şirketi ikinci saldırı setinden, “Kampanya, kurbanın web sitesinde veya sosyal medya sayfasında telif hakkı patlatma içeriğinin yayını talep ettiğini iddia eden çeşitli yasal firmaları parole ediyor.” Dedi. “Bu kampanya, ilk yükünü, gizlenmiş derlenmiş Python betiği yüklerini ve kampanya örneklerinin birden fazla yinelemesi yoluyla görüldüğü gibi gelişen karmaşıklığı sunmak için bir Telegram bot profil sayfasının yeni kullanımı ile dikkat çekiyor.”