مايكروسوفت تحذر من هجمات التصيد المدفوعة بالذكاء الاصطناعي
تدعو مايكروسوفت الانتباه إلى حملة تصيد جديدة تستهدف بشكل أساسي المؤسسات الأمريكية، والتي من المحتمل أن تستخدم أكواد تم إنشاؤها باستخدام نماذج اللغة الكبيرة (LLMs) لتشويش الحمولة وتجاوز الدفاعات الأمنية.
أساليب جديدة في الهجمات
قال فريق استخبارات التهديدات في مايكروسوفت في تحليل نُشر الأسبوع الماضي: “يبدو أن النشاط تم دعمه بواسطة نموذج لغة كبير (LLM)، حيث تم تشويش سلوكه داخل ملف SVG، مستفيدًا من المصطلحات التجارية وبنية صناعية لتخفي نواياه الخبيثة”.
تم اكتشاف النشاط في 28 أغسطس 2025، ويظهر كيف أن المهاجمين يتبنون بشكل متزايد أدوات الذكاء الاصطناعي (AI) في سير عملهم، غالبًا بهدف إنشاء طُعم تصيد أكثر إقناعًا، وأتمتة تشويش البرمجيات الخبيثة، وتوليد أكواد تحاكي المحتوى الشرعي.
استراتيجيات التصيد المتقدمة
في سلسلة الهجمات التي وثقتها مايكروسوفت، لوحظ أن المهاجمين يستغلون حساب بريد إلكتروني تجاري تم اختراقه مسبقًا لإرسال رسائل تصيد تهدف إلى سرقة بيانات اعتماد الضحايا. تحتوي الرسائل على طُعم يتظاهر بأنه إشعار بمشاركة ملف لجذبهم لفتح ما يبدو أنه مستند PDF، ولكنه في الواقع ملف SVG.
ما يميز الرسائل هو أن المهاجمين يستخدمون تقنية البريد الإلكتروني الموجه ذاتيًا، حيث تتطابق عناوين المرسل والمستقبل، وتم إخفاء الأهداف الفعلية في حقل BCC لتجاوز خوارزميات الكشف الأساسية.
ملفات SVG كأداة للهجمات
قالت مايكروسوفت: “تعتبر ملفات SVG (Scalable Vector Graphics) جذابة للمهاجمين لأنها تعتمد على النص وقابلة للبرمجة، مما يسمح لهم بإدراج JavaScript ومحتوى ديناميكي آخر مباشرة داخل الملف”. “هذا يجعل من الممكن تقديم حمولة تصيد تفاعلية تبدو غير ضارة لكل من المستخدمين والعديد من أدوات الأمان”.
علاوة على ذلك، فإن دعم تنسيق ملف SVG لميزات مثل العناصر غير المرئية والسمات المشفرة وتنفيذ السكربت المتأخر يجعله مثاليًا للخصوم الذين يسعون لتجاوز التحليل الثابت والبيئات الرملية.
استنتاجات مايكروسوفت
قالت مايكروسوفت إنها اختبرت الكود باستخدام Security Copilot، الذي وجد أن البرنامج “ليس شيئًا يكتبه إنسان عادة من الصفر بسبب تعقيده وطوله وافتقاره إلى الفائدة العملية”. بعض المؤشرات التي استخدمتها للوصول إلى هذا الاستنتاج تشمل:
- أسماء مبالغ فيها ووصفية بشكل مفرط للدوال والمتغيرات
- هيكل كود مبالغ فيه وعالي التجزئة
- تعليقات عامة ومطولة
- تقنيات صياغية لتحقيق التشويش باستخدام المصطلحات التجارية
- بيانات CDATA وإعلان XML في ملف SVG، على الأرجح في محاولة لتقليد أمثلة الوثائق
قالت مايكروسوفت: “بينما كانت هذه الحملة محدودة النطاق وتم حظرها بشكل فعال، إلا أن تقنيات مماثلة تُستخدم بشكل متزايد من قبل مجموعة من المهاجمين”.
الهجمات المتعددة المراحل
تأتي هذه الإفصاحات في الوقت الذي قدمت فيه Forcepoint تفاصيل عن سلسلة هجمات متعددة المراحل تستخدم رسائل تصيد تحتوي على مرفقات .XLAM لتنفيذ شيفرة خبيثة تنشر XWorm RAT عبر حمولة ثانوية، بينما تعرض في الوقت نفسه ملف Office فارغ أو تالف كخداع.
قالت Forcepoint: “تستخدم ملف .DLL الثاني من الذاكرة تقنيات تشويش وتشفير معقدة”. “هذا الملف الثاني من .DLL قام بتحميل ملف .DLL آخر في الذاكرة مرة أخرى باستخدام حقن DLL عاكس، والذي كان مسؤولًا عن التنفيذ النهائي للبرمجيات الخبيثة”.
تطور أساليب التصيد
في الأسابيع الأخيرة، استخدمت هجمات التصيد أيضًا طُعومًا تتعلق بإدارة الضمان الاجتماعي الأمريكية وانتهاك حقوق الطبع والنشر لتوزيع ScreenConnect ConnectWise وسرقة المعلومات مثل Lone None Stealer وPureLogs Stealer، وفقًا لـ Cofense.
قالت شركة أمان البريد الإلكتروني عن مجموعة الهجمات الثانية: “تقوم الحملة عادةً بتقليد شركات قانونية مختلفة تدعي أنها تطلب إزالة المحتوى الذي ينتهك حقوق الطبع والنشر من موقع الضحية أو صفحتها على وسائل التواصل الاجتماعي”. “تتميز هذه الحملة باستخدام جديد لصفحة ملف تعريف بوت تيليجرام لتسليم حمولتها الأولية، وأكواد بايثون المجمعه المشوشة، وتعقيد متطور كما يتضح من خلال عدة تكرارات من عينات الحملة.”
