Negli ultimi tempi, Microsoft ha segnalato una sofisticata campagna di phishing che prende di mira principalmente organizzazioni statunitensi, sfruttando tecniche avanzate basate sull’intelligenza artificiale e modelli linguistici di grandi dimensioni (LLM). Questo attacco si caratterizza per l’uso di file SVG generati tramite LLM, che vengono così resi difficilmente individuabili dai tradizionali sistemi di sicurezza delle e-mail.
Gli attaccanti utilizzano account e-mail aziendali già compromessi per inviare messaggi di phishing con l’obiettivo di rubare le credenziali delle vittime. Il messaggio simula una notifica di condivisione file, inducendo l’utente a cliccare su quello che sembra un documento PDF, che invece è un file SVG. Questi file SVG sono particolarmente insidiosi perché basati su testo e facilmente scriptabili, permettendo l’inserimento di codice JavaScript e altri contenuti dinamici direttamente all’interno del file. Questo rende possibile veicolare payload di phishing interattivi che appaiono innocui sia agli utenti che agli strumenti di sicurezza automatica.
Un aspetto interessante della tecnica impiegata
La tattica dell’auto-invio dell’email, nella quale mittente e destinatario coincidono mentre i veri obiettivi sono nascosti nel campo BCC, permette agli attaccanti di aggirare le regole di base di molti motori antispam.
Obfuscation avanzata e tecniche LLM
Il vero punto di forza di questa campagna risiede però nell’obfuscation avanzata: il codice SVG viene strutturato come se fosse parte di una dashboard aziendale, usando terminologia business e una struttura sintetica per mascherare l’intento malevolo. Le funzioni di reindirizzamento verso una pagina di phishing, fingerprinting del browser e tracciamento della sessione sono camuffate tramite una lunga sequenza di termini aziendali come revenue, operations, risk, growth. Questa strategia, tipica di una generazione automatica tramite LLM, rende il codice molto più difficile da analizzare manualmente o tramite strumenti automatici.
Il file SVG, una volta aperto, reindirizza l’utente a una pagina di verifica CAPTCHA e successivamente a una finta pagina di login per carpire le credenziali. Microsoft ha rilevato che, pur trattandosi di un attacco circoscritto, tecniche analoghe vengono sempre più spesso adottate da vari gruppi di cybercriminali.
La crescente integrazione dell’intelligenza artificiale nei processi di creazione di malware e phishing rappresenta una sfida significativa per la sicurezza informatica: la capacità di generare codice malizioso verosimile e altamente obfuscato rende necessario l’aggiornamento continuo delle difese e l’adozione di strumenti di detection basati a loro volta su AI.
