🌐 **AI驱动的混淆技术：** 新型钓鱼攻击活动疑似利用大型语言模型（LLM）生成代码，将恶意行为隐藏在SVG文件中，并使用商业术语和合成结构进行混淆，以规避安全防护机制。这表明AI正被用于创造更具欺骗性的钓鱼诱饵和混淆恶意软件。

📧 **SVG文件作为载荷：** 攻击者利用可缩放矢量图形（SVG）文件，因其文本基础和脚本编写能力，可直接嵌入JavaScript等动态内容。这使得攻击者能够交付看似无害的交互式钓鱼载荷，并利用SVG格式的“隐藏元素”、“编码属性”等特性来规避静态分析和沙箱检测。

🔒 **凭证窃取流程：** 攻击通过伪装成“文件共享通知”的钓鱼邮件，诱骗用户打开SVG文件。该文件会将用户重定向至一个“验证码”页面，随后引导至伪造的登录页面，以窃取受害者的凭证。攻击者还采用了“自发送”策略，通过密送字段隐藏真正目标，绕过基础检测。

🧐 **LLM生成代码的迹象：** 微软通过Security Copilot分析发现，攻击载荷的代码具有高度复杂性、冗余度大且缺乏实际应用价值，非人类常规编写。命名过于描述性、结构过度设计、注释通用冗长以及利用商业术语的公式化混淆方式，都指向了LLM的参与。

📈 **不断演进的威胁态势：** 此次攻击活动虽然影响范围有限且已被拦截，但各类威胁行为者正越来越多地采用类似技术。其他网络安全公司也披露了包含XLAM附件、利用反射式DLL注入、进程注入以及Telegram机器人等多种变种的攻击活动，表明网络攻击的复杂性和多样性正在不断升级。

HackerNews 编译，转载请注明出处：

微软正提请关注一场新的钓鱼攻击活动，该活动主要针对美国境内机构，且疑似利用大型语言模型（LLM）生成代码，对攻击载荷进行混淆处理，以绕过安全防护机制。

微软威胁情报团队在上周发布的分析报告中指出：“该攻击活动疑似借助大型语言模型（LLM），将恶意行为隐藏在 SVG 文件中，并利用商业术语和合成结构掩盖其恶意意图。”

这场于 2025 年 8 月 28 日被检测到的攻击活动表明，威胁行为者正越来越多地将人工智能（AI）工具纳入其攻击流程，目的通常包括制作更具欺骗性的钓鱼诱饵、自动完成恶意软件混淆，以及生成模仿合法内容的代码。

据微软（这家 Windows 操作系统开发商）记录的攻击链显示，威胁行为者利用已被入侵的企业邮箱账户发送钓鱼邮件，以窃取受害者凭证。这些邮件伪装成 “文件共享通知”，诱骗受害者打开看似 PDF 文档的文件 —— 但实际上，该文件是可缩放矢量图形（Scalable Vector Graphics，简称 SVG）文件。

此类邮件的一大特点是攻击者采用 “自发送” 策略：发件人与收件人地址一致，而真正的攻击目标则隐藏在密送（BCC）字段中，以此绕过基础检测规则。

微软表示：“SVG 文件（可缩放矢量图形）对攻击者极具吸引力，原因在于其基于文本且支持脚本编写，可直接在文件内嵌入 JavaScript 及其他动态内容。这使得攻击者能够交付看似无害的交互式钓鱼载荷，无论对用户还是多数安全工具而言，都难以识别其恶意本质。”

微软进一步补充，SVG 文件格式还支持 “隐藏元素”“编码属性”“延迟脚本执行” 等特性，这些功能使其成为攻击者规避静态分析与沙箱检测的理想选择。

SVG 文件一旦被打开，会将用户重定向至一个要求完成 “验证码（CAPTCHA）安全验证” 的页面。受害者完成验证后，通常会被引导至伪造的登录页面，其凭证随之被窃取。微软称，由于该威胁已被其系统识别并中和，目前尚不清楚后续具体攻击步骤。

此次攻击的独特之处在于其非常规的混淆手段：利用商业相关术语隐藏 SVG 文件中的钓鱼内容 —— 这一特征表明，相关代码可能由 LLM 生成。

微软解释道：“首先，SVG 代码的开头被构造成看似合法的‘企业分析仪表盘’样式。这种设计旨在误导任何随意检查文件的人，让他们误以为该 SVG 的唯一用途是可视化展示业务数据。但实际上，这只是一个伪装。”

其次，攻击载荷的核心功能（包括将用户重定向至初始钓鱼落地页、触发浏览器指纹识别、启动会话跟踪）也被一串冗长的商业相关术语（如 “收入”“运营”“风险”“季度”“增长”“份额” 等）所掩盖。

微软表示，其已将相关代码在 Security Copilot（微软安全副驾驶）中进行分析，结果显示该程序 “并非人类通常会从零编写的代码 —— 因其复杂度高、冗余度大，且缺乏实际应用价值”。微软得出这一结论的依据包括以下几点：

函数与变量的命名过于描述性且冗余代码结构高度模块化但过度设计注释内容通用且冗长利用商业术语实现混淆的方法具有公式化特征SVG 文件中包含 CDATA 段与 XML 声明，疑似为模仿文档示例而添加

微软指出：“尽管此次攻击活动影响范围有限且已被有效拦截，但各类威胁行为者正越来越多地采用类似技术。”

与此同时，Forcepoint（网络安全公司）也披露了一起多阶段攻击事件：攻击者通过含.XLAM 附件的钓鱼邮件执行 shellcode（壳代码），最终通过二级载荷部署 XWorm 远程访问木马（RAT）；同时，攻击者会显示空白或损坏的 Office 文件作为伪装。其中，二级载荷的作用是作为 “通道”，在内存中加载.DLL 文件。

Forcepoint 表示：“在内存中运行的二级.DLL 文件采用了高度混淆的打包与加密技术。该二级.DLL 文件通过‘反射式 DLL 注入’技术，在内存中再次加载另一个.DLL 文件，而后者最终负责执行恶意软件。”

“后续的最终步骤是在其自身主可执行文件中进行‘进程注入’，以维持持久化控制，并将数据窃取至其命令与控制（C2）服务器。经核查，这些接收窃取数据的 C2 服务器与 XWorm 家族恶意软件相关。”

此外，Cofense（邮件安全公司）称，近几周的钓鱼攻击还利用 “美国社会保障局”“版权侵权” 等相关诱饵，分别分发 ScreenConnect ConnectWise（远程控制工具，常被用于后续攻击）及 Lone None Stealer、PureLogs Stealer 等信息窃取恶意软件。

针对 “版权侵权” 主题的钓鱼攻击，Cofense 表示：“攻击者通常伪装成多家律师事务所，声称要求受害者移除其网站或社交媒体页面上的侵权内容。该攻击活动的显著特点在于其创新手段：利用 Telegram 机器人资料页交付初始载荷、使用混淆处理的编译型 Python 脚本载荷，且通过多版攻击样本可看出其复杂度正不断升级。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文