网络犯罪分子正越来越多地借助人工智能来增强其攻击能力,安全研究人员最近发现的一场复杂钓鱼攻击活动就体现了这一点。
该活动代表了恶意软件混淆技术的重大进步,它利用人工智能生成的代码,将恶意负载伪装在看似合法的商业文档中。
这一发展标志着威胁格局出现了令人担忧的转变,攻击者开始利用防御者用于保护组织的相同人工智能技术。
这场主要针对美国组织的活动采用了一种独特的有效载荷隐藏方法,与传统的加密混淆方法不同。
威胁行为者没有依赖传统的加密技术,而是利用人工智能生成复杂的代码结构,这些结构模仿了合法的业务分析仪表板,并使用业务术语来掩盖恶意功能。
这种方法的复杂性表明,有人在刻意尝试规避自动化检测系统和人工分析。
微软研究人员在检测到可疑邮件活动后发现了这一攻击活动,这些邮件活动展现出了与典型人工制作的恶意软件不一致的特征。
分析显示,该恶意代码所呈现出的复杂性、冗长性和结构模式,都强烈表明其创作过程有AI辅助参与。
微软安全 Copilot 的评估得出结论:该代码“因其复杂性、冗长性和缺乏实际用途,通常不是人类会从头编写的东西。”
这种攻击向量利用被攻陷的小型企业电子邮件账户分发钓鱼信息,目的是窃取用户凭证。
攻击者采用了一种发件人地址与收件人地址相同的电子邮件策略,而实际目标则隐藏在密送(BCC)字段中,试图绕过基本的检测规则。
这封电子邮件的内容经过精心设计,看起来像是文件共享通知,营造出一种合法的假象,以促使收件人与恶意附件进行交互。
该活动成功的核心在于其将SVG(可缩放矢量图形)文件用作主要攻击载体。这个名为“23mb – PDF- 6 pages.svg”的恶意文件虽带有SVG扩展名,却被设计成看似合法的PDF文档。
事实证明,这一选择具有策略性,因为SVG文件是基于文本且可编写脚本的,这使得攻击者能够将JavaScript和其他动态内容直接嵌入文件结构中,同时保持良性图像文件的外观。
商业术语混淆技术
该活动最具创新性的地方在于其复杂的混淆方法,这与传统的恶意软件隐藏技术有所不同。
攻击者没有采用传统的加密混淆技术,而是利用人工智能生成代码,通过与业务相关的术语和合成的组织结构,系统性地掩盖恶意功能。
这个SVG文件的初始结构经过精心设计,看起来就像一个正规的业务绩效仪表盘,包含图表条、月份标签和分析元素。
然而,通过将不透明度设置为零以及使用透明填充属性,这些组件对用户而言完全不可见。
这一具有欺骗性的层级起到了诱饵的作用,其设计目的是在掩盖文件真正恶意目的的同时,误导随意的检查。
<!-- Background -->
<rect width="100%" height="100%" fill="transparent" opacity="0" />
<!-- Title -->
<text x="400" y="40" text-anchor="middle" font-family="Arial" font-size="24" font-weight="bold"
fill="transparent" opacity="0">
Business Performance Dashboard
</text>
<!-- Chart bars -->
<rect x="100" y="200" width="60" height="201" fill="transparent" rx="5" opacity="0" />该有效载荷的核心功能隐藏在一种复杂的编码方案中,这种方案使用了大量与业务相关的术语序列。
“收入”“运营”“风险”和“股份”等词汇被拼接成SVG结构中一个不可见文本元素的隐藏数据分析属性。
这种创造性的方法将看似无害的业务元数据转化为了具有功能的恶意代码。
嵌入式JavaScript通过多个转换步骤系统地处理这些与业务相关的术语,将术语对或术语序列映射到特定字符或指令。
脚本执行时,会对该序列进行解码并重构隐藏功能,从而实现浏览器重定向、指纹识别和会话跟踪功能。
这种方法展示了人工智能生成的混淆如何在保持功能有效性的同时,为有效载荷隐藏创造全新的范式。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
