Microsoft se está centrando en nuevas campañas de phishing dirigidas a organizaciones con sede en los Estados Unidos que probablemente aprovechen el código generado principalmente utilizando modelos de lenguaje a gran escala (LLM) para ofuscar las cargas útiles y evitar las defensas de seguridad.
«Como parece ser compatible con los modelos de lenguaje a gran escala (LLM), las actividades ofuscan el comportamiento dentro de los archivos SVG y aprovechan la terminología comercial y las estructuras sintéticas para ocultar la intención maliciosa», dijo el equipo de inteligencia de amenazas de Microsoft en un análisis publicado la semana pasada.
La actividad detectada el 28 de agosto de 2025 muestra cómo los actores de amenaza emplean herramientas de inteligencia artificial (IA) en sus flujos de trabajo. El objetivo a menudo es crear damas de pesca más persuasivas, automatizar la ofuscación de malware y generar código que imita el contenido legítimo.
En las cadenas de ataque documentadas por los fabricantes de Windows, se ha observado que los malos actores aprovechan sus cuentas de correo electrónico comerciales ya comprometidas para enviar mensajes de phishing y robar calificaciones de víctimas. Los mensajes son características de señuelo decoradas en la apariencia de notificaciones para compartir archivos para dirigirlo a abrir lo que parece un documento PDF aparentemente, pero en realidad son archivos de gráficos vectoriales (SVG) escalables.
La característica notable del mensaje es que los atacantes usan tácticas de correo electrónico auto-restricciones. Ahí es que el remitente y el receptor coinciden y el objetivo real está oculto en el campo BCC para evitar la heurística de detección básica.
«Los archivos SVG (gráficos vectoriales escalables) están basados en texto y scriptables, lo que los hace atractivos para los atacantes y permiten que JavaScript y otro contenido dinámico se integren directamente dentro del archivo», dijo Microsoft. «Esto permite la provisión de cargas útiles interactivas de phishing que parecen benignas tanto para los usuarios como para muchas herramientas de seguridad».
Además, agregó que el hecho de que el formato de archivo SVG admite características como elementos invisibles, atributos codificados y ejecutar scripts retrasados es ideal para enemigos que intentan evitar el análisis estático y el sandboxing.
Cuando se lanza, el archivo SVG puede redirigir al usuario a una página que sirve a Captcha para la verificación de seguridad, y ser llevado a una página de inicio de sesión falsa para completarlo y cosechar las credenciales. Microsoft dijo que el siguiente paso exacto es desconocido ya que el sistema marca y neutraliza la amenaza.
Sin embargo, lo que se destaca de los ataques probablemente se genere utilizando LLM cuando se trata del enfoque de ofuscación inusual que utiliza idiomas relacionados con el negocio para disfrazar el contenido de phishing de los archivos SVG.
«Primero, el inicio del código SVG está estructurado como un tablero de análisis de negocios legítimo», dice Microsoft. «Esta táctica está diseñada para engañar a cualquiera que inspeccione casualmente los archivos, y parece que el único propósito de SVG es visualizar los datos comerciales. Pero en realidad, es un señuelo».
El segundo aspecto es la funcionalidad central de la carga útil: redirigir al usuario a la página de destino de phishing inicial, activar una huella digital del navegador e iniciar el seguimiento de la sesión. También se vuelve oscuro utilizando largas secuencias relacionadas con el negocio, como ingresos, operaciones, riesgos, trimestrales, de crecimiento o acciones.
Microsoft dijo que ejecutó el código a los copilotos de seguridad, pero descubrió que el programa «no es algo que los humanos generalmente escriben desde cero debido a su complejidad, redundancia y falta de utilidad práctica». Algunas de las métricas utilizadas para llegar a la conclusión incluyen el uso de –
Nombramiento excesivamente descriptivo y redundante para características y variables de la estructura de código altamente modular y sobrecargado comentarios Los comentarios generales y redundantes implementan una técnica fórmula para lograr la ofuscación utilizando términos comerciales CDATA y declaraciones XML en archivos SVG en un intento de imitar ejemplos de documentación.
«La campaña fue limitada en alcance y se bloqueó efectivamente, pero una variedad de actores de amenazas utilizan cada vez más tecnologías similares», dijo Microsoft.
Esta divulgación detalla una secuencia de ataque de varias etapas en la que ForcePoint usa un correo electrónico de phishing con un archivo adjunto .xlam para ejecutar shellcode que eventualmente usa una carga útil secundaria para implementar ratas Xworm, al tiempo que muestra simultáneamente archivos de oficina en blanco o corrupto como trucos. La carga útil secundaria actúa como un conducto para cargar archivos .dll en la memoria.
«La segunda etapa .dll Los archivos de la memoria usan pesadas técnicas de empaque y cifrado de embalaje y cifrado», dijo Forcepoint. «Este archivo .dll de segunda etapa utilizó la inyección de DLL reflectante para recargar otro archivo .dll en la memoria que causó que el malware final se ejecutara».
«El siguiente paso final es realizar la inyección de procesos en su propio ejecutable principal, manteniendo los datos de persistencia y eliminación a su servidor de comando y control. Descubrimos que los C2 con los datos extendidos están relacionados con la familia Xworm».
En las últimas semanas, los ataques de phishing han adoptado la Agencia de Seguridad Social de los EE. UU. Y los señuelos relacionados con los derechos de autor, distribuyendo SCRIENCONEntEnt Connectwise, como Lone None robadores como Connectine y Purelogs Stealers, así como Steelers de información para sus respectivos.
«La campaña reclama varias firmas de abogados que generalmente afirman que requieren un derribo de contenido intrusivo de derechos de autor en el sitio web de la víctima o las páginas de redes sociales», dice la compañía de seguridad de correo electrónico sobre el segundo conjunto de ataques. «Esta campaña es notable por usar una nueva página de perfil de Bot Telegram para evolucionar la complejidad que se ve a través de las cargas útiles iniciales, las cargas útiles de script de Python ofuscadas y múltiples iteraciones de muestras de campaña».
Source link
