Microsoft Threat Intelligence mengidentifikasi dan menggagalkan kampanye phishing canggih yang tampaknya memanfaatkan kecerdasan buatan (AI) untuk merancang serangan yang kompleks dan tersembunyi. Serangan yang menargetkan sebuah organisasi di AS ini menggunakan berkas SVG berisi muatan yang berbeda dari kode buatan manusia. Kompleksitas berkas dan kurangnya kegunaan praktis menunjukkan bahwa AI, yang kemungkinan merupakan model bahasa pemrograman yang besar, terlibat dalam pembuatan kode yang mampu menghindari langkah-langkah keamanan tradisional.

Strategi penyerang adalah menggunakan terminologi bisnis dan struktur kompleks dalam berkas SVG untuk menyembunyikan niat jahat mereka. Ini merupakan bagian dari tren yang berkembang di mana penjahat siber memanfaatkan AI untuk menciptakan umpan yang lebih meyakinkan dan menghindari deteksi. Insiden ini menyoroti sifat ganda teknologi AI, karena digunakan oleh profesional keamanan siber dan pelaku ancaman.

Pertahanan berbasis AI di Microsoft Defender untuk Office 365 berhasil mendeteksi dan memblokir serangan ini. Sistem menganalisis berbagai sinyal, termasuk infrastruktur, perilaku, dan konteks pesan, yang kurang rentan terhadap manipulasi ancaman yang dihasilkan AI. Microsoft membagikan analisis ini untuk membantu seluruh komunitas keamanan mengenali dan memerangi taktik serupa yang didukung AI.

Kampanye phishing ini pertama kali terdeteksi pada 18 Agustus, ketika email ditemukan didistribusikan melalui akun bisnis kecil dan menengah yang telah disusupi. Email tersebut, yang disamarkan sebagai notifikasi berbagi file, dikirim ke penerima yang disembunyikan di kolom BCC, sebuah taktik yang dirancang untuk menghindari deteksi dasar. Berkas SVG terlampir, yang disamarkan sebagai PDF, berisi kode yang disamarkan menggunakan jargon bisnis untuk menyembunyikan tujuan sebenarnya. Setelah membuka berkas tersebut, pengguna dialihkan ke situs phishing, kemungkinan untuk mendapatkan kredensial mereka.

Analisis Microsoft terhadap kampanye tersebut mengungkapkan bahwa para penyerang mengkodekan muatan berbahaya mereka dalam berkas SVG menggunakan rangkaian istilah terkait bisnis. Teknik pengaburan ini, bersama dengan penggunaan elemen tak terlihat dan eksekusi skrip yang tertunda, bertujuan untuk menghindari analisis statis dan teknologi sandboxing. Terlepas dari upaya para penyerang, sistem deteksi Microsoft berhasil memblokir kampanye tersebut dengan menganalisis berbagai faktor, termasuk teknik email yang mencurigakan, jenis berkas, dan perilaku jaringan.

Untuk mengatasi ancaman yang terus berkembang ini, Microsoft merekomendasikan beberapa praktik terbaik, termasuk mengaktifkan konfirmasi ulang tautan saat diklik di Microsoft Defender untuk Office 365 dan merekomendasikan penggunaan peramban dengan Microsoft Defender SmartScreen. Selain itu, organisasi didorong untuk menerapkan metode autentikasi anti-phishing dan kebijakan akses bersyarat guna memperkuat pertahanan mereka terhadap serangan phishing serupa yang didukung AI.