Microsoft ha segnalato una nuova campagna di phishing che sembra sfruttare modelli di linguaggio (LLM) per “celare” il payload dannoso all’interno di file SVG. I malintenzionati stanno diventando sempre più astuti: non usano più solo allegati “visibili”, ma nascondono codice malevolo dentro formati apparentemente innocui.
Il trucco del file SVG “innocente”
Il vettore d’attacco è sorprendente nella sua semplicità ingannevole: chi riceve una mail riceve un file che sembra essere un PDF o una notifica di condivisione file. In realtà è un file SVG, ovvero un’immagine vettoriale testuale che può incorporare codice (JavaScript) e elementi invisibili. Questo lo rende un candidato perfetto per aggirare i controlli automatici che analizzano gli allegati.
Dentro quel file SVG “camuffato” si cela uno script che, una volta attivato, reindirizza l’utente verso una pagina con CAPTCHA. Se l’utente completa il test, viene mandato a un finto sito di login per rubare le credenziali.
Linguaggio d’affari come camuffamento
Uno degli aspetti più astuti di questa campagna è che il codice contiene termini aziendali, come “revenue”, “growth”, “operations”, “shares”, usati per mimetizzare le operazioni malevole. Il risultato: anche un’analisi a occhio può essere ingannata. Microsoft afferma che il codice è troppo prolisso e strutturato in modo strano per essere opera di un umano “da zero” — segno che potrebbe essere stato generato o assistito da un LLM.
In pratica, si è costruito un “scudo semantico” intorno al payload: sotto una facciata che sembra innocua, si nascondono funzioni di tracciamento, fingerprinting del browser e redirezioni malevole.
Strategie anti-rilevamento sofisticate
Per rendere il tutto ancora più oscuro, gli attaccanti usano:
- Codice con nomi di funzioni e variabili molto descrittivi e verbosi
- Strutture modulari e “over-engineered”
- Commenti generici, ridondanti
- Dichiarazioni CDATA e attributi codificati per mimare file documentali
- Una tecnica di “self-addressed email”: mittente e destinatario coincidono, e i bersagli reali sono inseriti in BCC, così da aggirare le rilevazioni automatiche
Secondo Microsoft, queste tecniche non sono un caso isolato, ma indicano una tendenza in crescita: gli attaccanti stanno integrando strumenti IA nei loro workflow, per affinare phishing sempre più personalizzati e difficili da scoprire.
Implicazioni per la difesa
Non è bastato bloccare la campagna in tempo, ma l’allarme è forte: molti sistemi di sicurezza sono ancora basati su controlli statici degli allegati (analisi file, sandboxing). I file SVG, grazie alla loro natura testuale e scriptabile, possono aggirare facilmente queste difese.
Le organizzazioni devono aggiornare le difese:
- Potenziare l’analisi comportamentale, non solo quella statica
- Applicare filtri attivi su formati di file “meno sospettati” come SVG
- Rafforzare la formazione degli utenti: un link “strano” o un allegato che sembra innocuo merita comunque sospetto
- Usare strumenti che combinino intelligenza artificiale difensiva: rilevamento di anomalie nel linguaggio del codice, strutture inconsuete, payload nascosti
Considerazioni finali
Questo episodio mostra un’evoluzione inquietante del phishing: non è più una questione di spam grezzo, ma di ingegneria semantica. L’IA diventa arma nelle mani dei cybercriminali che sfruttano linguaggi naturali e codici mimetizzati per ingannare difese e umani. Per restare efficaci, le contromisure devono evolvere con la minaccia. Personalmente credo che il futuro della cyber-sicurezza non sarà tanto nella sfida tra “signature malware vs antivirus”, ma in chi saprà interpretare modelli di linguaggio malevoli e discernere il “codice nascosto” sotto ben altra facciata.
Fonte: The Hackers News
