- Hackers disfrazados de tablas de negocios que utilizan herramientas de IA para ocultar el código de phishing en archivos SVG
- SVGS contaminados Codificadas de pago mediante términos comerciales decodificados mediante scripts ocultos para robar datos
- Microsoft presenta un agotamiento complejo para el código expuesto a AI, no un malware ordinario escrito por humanos
Todos hemos escuchado que Jenner II se está utilizando para hacer que los cuerpos de los correos electrónicos de pesca del Inc, pero los investigadores de Microsoft ahora han descubierto una campaña que amenaza a los actores en phishing un paso más, para cubrir mejor el código contaminado.
Dividir a un informe TekraderMicrosoft dice que ha observado una nueva promoción de phishing de una cuenta de correo electrónico comprometida incluida en una pequeña empresa. La estrategia no fue increíble: los atacantes devolvieron este mensaje a la cuenta comprometida y atacaron a las víctimas a través del campo BCC, una estrategia estándar para evitar ser identificados.
El correo electrónico en sí compartió un archivo malicioso cuyo objetivo era recopilar las credenciales de inicio de sesión de las personas. Era un archivo SVG que estaba disfrazado de PDF. No es inusual aquí. Los archivos SVG son los gráficos vectoriales escalables utilizados para imágenes web. Dado que admiten scripts integrados, se absorben por el phishing, ya que los atacantes pueden ocultar el JavaScript contaminado en el interior, omitir los filtros sin pasar y hacer clic en los enlaces dañinos de los usuarios.
Pero entonces los problemas se vuelven interesantes.
Negligencia
Después de analizar el código SVG, Microsoft ha descubierto que su método de bloqueo y comportamiento es bastante único.
El informe dice: “En lugar de usar el bloqueo criptográfico del contenido de phishing, el código SVG de esta campaña utilizó un lenguaje relacionado con el negocio en sus actividades corruptas”, dice el informe.
Resulta que los atacantes esconden el malware dentro de los archivos SVG como una tabla de negocios general.
Los gráficos estaban desapareciendo, por lo que cualquiera que abriera el archivo solo vería los gráficos en blanco.
Codificaron el código malicioso como una cadena de palabras comerciales como “ganar” y “compartir” y un script oculto leería esas palabras, las decodificaría y convertiría el navegador en una función del sitio de phishing, rastrearía el usuario y los datos del navegador para recopilar.
Básicamente, el archivo parece inocente, pero en secreto llevó a cabo un programa que roba datos y rastrea las actividades.
Microsoft agregó, sin duda era el trabajo de una IA: “Microsoft Security Kapilot evaluó el código que un hombre generalmente escribió desde cero debido a ‘complicaciones, verbosidades y falta de utilidad práctica”.
