Microsoft đang kêu gọi sự chú ý đến một chiến dịch phishing mới nhắm chủ yếu vào các tổ chức có trụ sở tại Hoa Kỳ, có khả năng đã sử dụng mã được tạo bằng các mô hình ngôn ngữ lớn (LLM) để làm xáo trộn các payload và né tránh các biện pháp phòng thủ an ninh.
Nhóm Microsoft Threat Intelligence cho biết trong một phân tích được công bố vào tuần trước: "Có vẻ như được hỗ trợ bởi một mô hình ngôn ngữ lớn (LLM), hoạt động này đã làm xáo trộn hành vi của nó trong một tệp SVG, tận dụng các thuật ngữ kinh doanh và cấu trúc tổng hợp để che giấu ý định độc hại."
Hoạt động này, được phát hiện vào ngày 28 tháng 8 năm 2025, cho thấy các threat actor ngày càng áp dụng các công cụ trí tuệ nhân tạo (AI) vào quy trình làm việc của họ, thường với mục tiêu tạo ra các mồi nhử phishing thuyết phục hơn, tự động hóa việc làm xáo trộn malware và tạo mã bắt chước nội dung hợp pháp.
Trong chuỗi tấn công được nhà sản xuất Windows ghi lại, các bad actor đã được quan sát thấy sử dụng một tài khoản email doanh nghiệp đã bị xâm nhập để gửi các tin nhắn phishing nhằm đánh cắp thông tin xác thực của nạn nhân. Các tin nhắn này có mồi nhử ngụy trang dưới dạng thông báo chia sẻ tệp để dụ dỗ họ mở một tài liệu dường như là PDF, nhưng trên thực tế, đó là tệp Scalable Vector Graphics (SVG).
Điều đáng chú ý về các tin nhắn này là những kẻ tấn công sử dụng chiến thuật email tự gửi, trong đó địa chỉ người gửi và người nhận trùng khớp, và các mục tiêu thực tế được ẩn trong trường BCC để vượt qua các heuristic phát hiện cơ bản.
Microsoft cho biết: "Các tệp SVG (Scalable Vector Graphics) hấp dẫn đối với những kẻ tấn công vì chúng dựa trên văn bản và có thể lập trình được, cho phép chúng nhúng JavaScript và các nội dung động khác trực tiếp vào tệp. Điều này giúp có thể phân phối các payload phishing tương tác mà dường như vô hại đối với cả người dùng và nhiều công cụ bảo mật."
Ngoài ra, việc định dạng tệp SVG hỗ trợ các tính năng như các phần tử ẩn, các thuộc tính được mã hóa và thực thi script bị trì hoãn khiến nó trở nên lý tưởng cho các adversaries muốn né tránh static analysis và sandboxing, Microsoft nói thêm.
Tệp SVG, sau khi được khởi chạy, sẽ chuyển hướng người dùng đến một trang hiển thị CAPTCHA để xác minh bảo mật. Sau khi hoàn tất, người dùng có thể bị đưa đến một trang đăng nhập giả mạo để thu thập thông tin xác thực của họ. Microsoft cho biết giai đoạn tiếp theo chính xác chưa rõ ràng do các hệ thống của họ đã gắn cờ và vô hiệu hóa mối đe dọa.
Điểm khác biệt của cuộc tấn công
Nhưng điểm khác biệt của cuộc tấn công này nằm ở cách làm xáo trộn bất thường, sử dụng ngôn ngữ liên quan đến kinh doanh để che giấu nội dung phishing trong tệp SVG – một dấu hiệu cho thấy nó có thể đã được tạo ra bằng một LLM.
Microsoft cho biết: "Đầu tiên, phần đầu của mã SVG được cấu trúc để trông giống như một bảng điều khiển phân tích kinh doanh hợp pháp. Chiến thuật này được thiết kế để đánh lừa bất kỳ ai kiểm tra tệp một cách thông thường, khiến nó trông như thể mục đích duy nhất của SVG là để trực quan hóa dữ liệu kinh doanh. Tuy nhiên, trên thực tế, đó là một mồi nhử."
Khía cạnh thứ hai là chức năng cốt lõi của payload – đó là chuyển hướng người dùng đến trang đích phishing ban đầu, kích hoạt browser fingerprinting và bắt đầu session tracking – cũng được làm xáo trộn bằng cách sử dụng một chuỗi dài các thuật ngữ liên quan đến kinh doanh như doanh thu, hoạt động, rủi ro, hàng quý, tăng trưởng hoặc cổ phiếu.
Microsoft cho biết họ đã chạy mã này trên Security Copilot của mình và phát hiện ra rằng chương trình "không phải là thứ mà một người bình thường sẽ viết từ đầu do sự phức tạp, dài dòng và thiếu tiện ích thực tế của nó." Một số chỉ số mà Microsoft sử dụng để đi đến kết luận bao gồm việc sử dụng:
- Tên hàm và biến quá mô tả và dư thừa
- Cấu trúc mã có tính mô-đun cao và thiết kế quá mức
- Các bình luận chung chung và dài dòng
- Các kỹ thuật công thức để đạt được sự làm xáo trộn bằng cách sử dụng thuật ngữ kinh doanh
- Khai báo CDATA và XML trong tệp SVG, có khả năng là một nỗ lực để bắt chước các ví dụ tài liệu
Microsoft cho biết: "Mặc dù chiến dịch này có phạm vi hạn chế và đã bị chặn hiệu quả, nhưng các kỹ thuật tương tự đang ngày càng được nhiều threat actor tận dụng."
Các chiến dịch tấn công khác
Thông tin này được đưa ra khi Forcepoint đã trình bày chi tiết một chuỗi tấn công nhiều giai đoạn sử dụng email phishing với các tệp đính kèm .XLAM để thực thi shellcode, cuối cùng triển khai XWorm RAT thông qua một secondary payload, đồng thời hiển thị một tệp Office trống hoặc bị hỏng như một mồi nhử. Secondary payload hoạt động như một cầu nối để tải tệp .DLL vào bộ nhớ.
Forcepoint cho biết: "Tệp .DLL giai đoạn hai từ bộ nhớ sử dụng các kỹ thuật packing và encryption bị làm xáo trộn nghiêm ngặt. Tệp .DLL giai đoạn hai này đã tải một tệp .DLL khác vào bộ nhớ một lần nữa bằng cách sử dụng reflective DLL injection, chịu trách nhiệm tiếp theo cho việc thực thi malware cuối cùng."
"Bước tiếp theo và cuối cùng thực hiện process injection vào tệp thực thi chính của nó, duy trì persistence và exfiltrate dữ liệu đến các máy chủ command-and-control của nó. Các C2 nơi dữ liệu bị exfiltrate được phát hiện có liên quan đến dòng họ XWorm."
Trong những tuần gần đây, các cuộc tấn công phishing cũng đã sử dụng các mồi nhử liên quan đến Cục An sinh Xã hội Hoa Kỳ và vi phạm bản quyền để phân phối ScreenConnect ConnectWise và các information stealer như Lone None Stealer và PureLogs Stealer, tương ứng, theo Cofense.
Công ty bảo mật email cho biết về nhóm tấn công thứ hai: "Chiến dịch thường giả mạo các công ty luật khác nhau, yêu cầu gỡ bỏ nội dung vi phạm bản quyền trên trang web hoặc trang mạng xã hội của nạn nhân. Chiến dịch này đáng chú ý vì việc sử dụng mới lạ trang hồ sơ Telegram bot để phân phối payload ban đầu, các payload script Python đã biên dịch bị làm xáo trộn và sự phức tạp ngày càng tăng được thấy qua nhiều lần lặp lại các mẫu chiến dịch."
