Microsoft Threat Intelligence đã phát hiện một **chiến dịch phishing** nhắm vào việc đánh cắp thông tin đăng nhập, sử dụng mã được tạo bằng AI trong tệp SVG để che giấu hành vi độc hại.

Mặc dù các kỹ thuật che giấu mới lạ thể hiện sự khéo léo của kẻ tấn công, các biện pháp phòng thủ được hỗ trợ bởi AI vẫn chặn đứng cuộc tấn công một cách thành công. Điều này nhấn mạnh rằng các mối đe dọa tăng cường bởi AI vẫn có thể bị phát hiện khi các nhà phòng thủ điều chỉnh chiến lược phân tích.

Phát hiện chiến dịch Phishing tinh vi

Vào ngày 18 tháng 8, Microsoft Threat Intelligence đã xác định một **chiến dịch phishing** có mục tiêu cao. Chiến dịch này đã khai thác một tài khoản email doanh nghiệp nhỏ bị xâm phạm để phân phối các email đánh cắp thông tin đăng nhập.

Kẻ tấn công đính kèm một tệp có tên “23mb – PDF- 6 pages.svg”. Tệp này được thiết kế để giả mạo một tài liệu PDF mặc dù có phần mở rộng là SVG.

Tệp SVG ngày càng được các tác nhân đe dọa ưa chuộng. Chúng cho phép nhúng JavaScript và nội dung động dựa trên văn bản, tạo điều kiện cho các kỹ thuật che giấu tinh vi. Điều này có thể giúp chúng vượt qua phân tích tĩnh và môi trường sandbox.

Để tìm hiểu sâu hơn về phân tích của Microsoft, bạn có thể tham khảo báo cáo chính thức: AI vs AI: Detecting an AI-Obfuscated Phishing Campaign.

Kỹ thuật che giấu Payload bằng mã AI

Khi mở tệp SVG, người dùng sẽ bị chuyển hướng đến một trang xác minh dựa trên CAPTCHA. Đây là một chiến thuật kỹ thuật xã hội quen thuộc. Nó được thiết kế để tạo dựng lòng tin người dùng và trì hoãn sự nghi ngờ.

Mặc dù các biện pháp phòng thủ đã chặn quyền truy cập trước khi trang đăng nhập giả mạo xuất hiện, cuộc điều tra cho thấy JavaScript nhúng trong SVG đã có thể tái tạo một trang đích để thực hiện **chiến dịch phishing**. Trang này được dùng để thu thập thông tin đăng nhập.

Thay vì sử dụng các kỹ thuật che giấu mật mã tiêu chuẩn, kẻ tấn công đã sử dụng ngôn ngữ phân tích kinh doanh mô phỏng để che giấu payload của chúng. Điều này tạo ra một lớp ngụy trang phức tạp.

Đầu tiên, mã SVG bắt đầu bằng các phần tử vô hình được định dạng như một “Bảng điều khiển hiệu suất kinh doanh” (Business Performance Dashboard). Nó hoàn chỉnh với các biểu đồ thanh và nhãn tháng được hiển thị với độ mờ bằng không và tô trong suốt.

Những hiện vật đánh lạc hướng này có mục đích đánh lừa bất kỳ ai kiểm tra tệp.

Thứ hai, payload thực tế được mã hóa trong một chuỗi dài các thuật ngữ liên quan đến kinh doanh. Các thuật ngữ này bao gồm “revenue”, “operations”, “risk”, “shares”. Chúng được lưu trữ trong một thuộc tính phân tích dữ liệu ẩn của một phần tử <text> vô hình.

JavaScript nhúng sau đó xử lý các thuật ngữ này thông qua nhiều bước biến đổi. Nó ánh xạ các chuỗi thuật ngữ kinh doanh thành các ký tự và hướng dẫn.

Khi script thực thi, nó giải mã siêu dữ liệu một cách có hệ thống. Quá trình này nhằm mục đích tái tạo chức năng chuyển hướng, lấy dấu vân tay trình duyệt (browser fingerprinting) và theo dõi phiên (session tracking).

Điều này đã che giấu hiệu quả hành vi độc hại đằng sau biệt ngữ doanh nghiệp có vẻ vô hại.

Tham khảo thêm về các kỹ thuật CAPTCHA giả mạo tại GBHackers: Beware of Fake CAPTCHA Hidden LummaStealer.

Đặc điểm mã được tạo bởi AI trong **mối đe dọa mạng**

Phân tích của Microsoft Security Copilot xác định mã SVG này có khả năng cao được tạo bởi một mô hình ngôn ngữ lớn (LLM). Các đặc điểm này bao gồm:

• Độ phức tạp của mã.
• Quy ước đặt tên dài dòng (ví dụ: processBusinessMetricsf43e08).
• Cấu trúc mô-đun nhưng quá phức tạp (over-engineered).
• Các bình luận chung chung.
• Việc bao gồm không cần thiết các khai báo XML và trình bao bọc CDATA.

Những đặc điểm này minh họa các hiện vật mã điển hình được tạo bởi AI. Chúng cung cấp các tín hiệu phát hiện bổ sung. Cách tiếp cận có hệ thống này là đặc trưng của đầu ra AI/LLM, vốn có xu hướng thiết kế quá mức và tổng quát hóa các giải pháp.

Phòng thủ AI và khả năng chống lại **chiến dịch phishing**

Bất chấp việc kẻ tấn công sử dụng AI để che giấu, các biện pháp bảo vệ do AI điều khiển của Microsoft Defender for Office 365 đã ngăn chặn **chiến dịch phishing** này.

Việc này được thực hiện bằng cách phân tích cơ sở hạ tầng, hành vi và ngữ cảnh thư của **chiến dịch phishing**, không chỉ đơn thuần kiểm tra mã payload.

Các tín hiệu quan trọng giúp **phát hiện tấn công** bao gồm:

• Email tự gửi với người nhận BCC.
• Việc lựa chọn đáng ngờ các tệp SVG được đặt tên giống PDF.
• Chuyển hướng đến các tên miền liên kết với nội dung của **chiến dịch phishing** đã biết.
• Các mẫu che giấu mã chung chung.
• Các hành vi mạng như theo dõi phiên và lấy dấu vân tay, rất quan trọng cho việc **phát hiện tấn công**.

Khuyến nghị tăng cường bảo mật

Để tăng cường khả năng phòng thủ chống lại các mối đe dọa phishing được hỗ trợ bởi AI tương tự, các tổ chức nên:

• Tiếp tục tận dụng các phân tích dựa trên AI.
• Tập trung vào các mẫu tấn công.
• Các đặc điểm cơ sở hạ tầng.
• Các bất thường về hành vi.

Khi các đối thủ tích hợp AI vào bộ công cụ tấn công của họ, các nhóm bảo mật phải liên tục thích nghi. Việc chuyển hướng phát hiện vượt ra ngoài cú pháp mã. Thay vào đó, tập trung vào ngữ cảnh rộng hơn của các chiến thuật của **chiến dịch phishing**.

Bằng cách này, các nhà phòng thủ có thể đi trước các mối đe dọa mới nổi, ngay cả khi việc che giấu do AI tạo ra tiếp tục phát triển. Đây là một yếu tố quan trọng trong việc đối phó với các **mối đe dọa mạng** hiện đại.