Microsoft перехватила AI-фишинг: досье на новую киберуловку
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Специалисты Microsoft недавно остановили фишинговую атаку, в которой злоумышленники впервые использовали сгенерированный искусственным интеллектом (AI, от англ. Artificial Intelligence) программный код. Сам по себе искусственный интеллект уже широко применяется в различных областях, а теперь и киберпреступники осваивают его возможности. С одной стороны, IT-специалисты используют ИИ для поиска и отражения угроз, с другой — нападающие задействуют его для создания сложных фишинговых писем и маскировки вредоносных вложений.
Microsoft Threat Intelligence (группа по исследованию угроз компании) выявила фишинговую кампанию, которая прятала основную вредоносную нагрузку внутри SVG-файла с помощью кода, сгенерированного ИИ. Такое вложение было замаскировано под PDF-документ и отправлялось с взломанного почтового аккаунта небольшой компании. Адресаты не указывались явно, рассылка шла через скрытые BCC-поля, чтобы усложнить отслеживание жертв.
Внутри SVG-файла находились скрытые элементы, оформленные под бизнес-дашборд. Специальный скрипт брал слова, связанные с бизнесом, и на их основе создавал программный код, который затем расшифровывал основную вредоносную нагрузку, когда файл открывался. Пользователь, скачав вложение, попадал на фальшивый сайт с CAPTCHA (проверкой «Я не робот»), за которым уже скрывалась поддельная страница входа для кражи логинов и паролей.
Главная «обфускация» (метод запутывания вредоносного кода) заключалась не в шифровании, а в хаотичном соединении типовых бизнес-слов и примитивных конструкций — стиль, хорошо распознаваемый у так называемых больших языковых моделей (LLM, например, ChatGPT). Анализ при помощи Security Copilot от Microsoft уловил длинные описательные имена переменных, повторяющиеся модульные структуры, шаблонные комментарии и странное сочетаение XML-деклараций, что характерно для автоматизированного кода.
В результате автоматизированные защиты Microsoft Defender for Office 365 последовательно выделили подозрительные признаки: необычную рассылку на собственный адрес через BCC, маскировку SVG под PDF, редирект на известный фишинговый сайт, вредоносный код внутри вложения и механизмы слежки на поддельной странице.
Атака оказалась ограниченной по масштабам, легко блокируемой и в основном была направлена на организации из США. Тем не менее, Microsoft подчеркивает: эта история — лишнее доказательство, что злоумышленники активно экспериментируют с искусственным интеллектом, чтобы делать свои ловушки всё более правдоподобными и сложными.
PEREC.RU
Первое чувство — лёгкая усталость: мы уже не удивляемся, когда искусственный интеллект берёт на себя грязную работу фишеров. Microsoft заявляет о «победе» — заблокировали атаку, разобрались в трюках нейросети, вычислили обфускацию из бизнес-слов. Красиво пишут отчёты, даже имя инструмента — «Security Copilot» — звучит как что-то из фантастики про кибердьявола.
Но раскрывается простая картина: маскировка вредоносных SVG под якобы «PDF» бизнес-отчёты, банальная CAPTCHA, ссылка на лживую страницу ввода логина. Да, теперь всё собирает сетевой искусственный Ницше из бессмысленных модулей и шифроданных, зато сколько PR о новых угрозах.
Основная мораль — атаки проще не станут, нейросети совершенствуются быстрее, чем офисы обновляют лицензии Microsoft. Сегодняшняя атака была простой; завтра мы и не различим, с кем говорим — с ботом или фишером. Паранойя, усердие админов и олдскульный скепсис — снова в моде. Впрочем, кто-то удивится? Наивные клиенты пострадают снова, отчёты и расследования станут длиннее. И круг доверия снова сузится до "проверено мамой".
