Microsoft ha identificado una nueva campaña de phishing donde los atacantes utilizaron código generado por un Modelo de Lenguaje (LLM) dentro de archivos SVG para evadir los filtros de correo y ocultar su intención maliciosa. Estos archivos, que parecían gráficos inofensivos, contenían JavaScript oculto diseñado para redirigir a los usuarios a páginas de captura de credenciales.
¿CÓMO FUNCIONA?
Esta campaña combina la ingeniería social con una técnica de ofuscación asistida por IA para saltar las defensas del correo electrónico:
- Vector de Correo de Alta Confianza: El phishing se envió utilizando una cuenta legítima de empresa comprometida como remitente, elevando la confianza del destinatario. Además, los destinatarios reales fueron colocados en el campo BCC para evitar la detección simple.
- El Archivo SVG Disfrazado:
- El archivo adjunto se presentaba como un PDF, pero en realidad era un archivo SVG (Scalable Vector Graphics). Los archivos SVG son peligrosos porque soportan la incrustación de código JavaScript.
- Ofuscación con Lenguaje de Negocios: Una parte clave del código fue generada por un LLM e intencionalmente redactada utilizando terminología de negocios (“revenue”, “shares”, “growth”, “operations”). Esto hace que el código parezca un gráfico de datos corporativo o un dashboard empresarial a simple vista, dificultando su detección por análisis de palabras clave.
- Ejecución y Redirección en Cadena:
- Al abrir el SVG, el JavaScript interno se ejecuta, redirigiendo al usuario a una página con CAPTCHA (para parecer una verificación legítima).
- Después de la verificación, el usuario es llevado a la página de phishing final diseñada para robar credenciales.
- El código también puede realizar “fingerprinting” del navegador y seguimiento de sesión para optimizar el ataque.
- Evidencia de Uso de IA (LLM): Microsoft infirió el uso de IA basándose en anomalías del código, como nombres muy verbosos o descripciones redundantes, una estructura modular excesiva y el uso de variables con nombres de negocios que no cumplen ninguna función aparente más que camuflaje.
Riesgos Clave del Ataque
- Evasión de Filtros: El uso de SVG + JavaScript es crítico porque muchos filtros de correo no inspeccionan ese tipo de archivo con la profundidad necesaria, considerándolo “inofensivo”.
- Legitimidad Forzada: El uso de lenguaje de negocios como camuflaje hace que el código se vea “corporativo”, lo cual es una técnica ingeniosa de ofuscación de la lógica maliciosa.
- Integración de Ataques: La combinación de código generado por IA (la ofuscación) con técnicas tradicionales (JS dentro de SVG y redirección) demuestra la tendencia de los atacantes a integrar tecnologías nuevas y conocidas para saltar las defensas.
Recomendaciones
- Filtrado Más Profundo de SVGs:
- Implementar escáneres que puedan analizar rigurosamente el JavaScript embebido en archivos SVG.
- Configurar políticas para rechazar o poner en cuarentena los archivos SVG que no cumplan con criterios de seguridad esperados (ej. contenido binario inusual o scripts).
- Restricción de Tipos de Archivo Adjuntos:
- No permitir que los archivos SVG sean tratados como “documentos” en el correo empresarial.
- Priorizar el uso de formatos seguros (como PDFs o imágenes sin scripts) en comunicaciones críticas.
- Monitoreo y Sandboxing Rígido:
- Implementar una estrategia de sandboxing para ejecutar el código dentro de archivos SVG en un entorno aislado antes de que lleguen al usuario.
- Configurar alertas para detectar anomalías en el comportamiento del código SVG, como redirecciones o peticiones externas a dominios desconocidos.
