Microsoft Threat Intelligence interceptó recientemente una campaña de phishing sofisticada que aparentemente utilizaba código generado por inteligencia artificial para evadir la detección. El ataque apuntó a organizaciones en Estados Unidos e intentó ocultar su carga maliciosa dentro de un archivo SVG disfrazado de PDF.

El 18 de agosto, los atacantes utilizaron una cuenta de correo electrónico comprometida de una pequeña empresa para enviar los correos de phishing. Los mensajes estaban dirigidos a sí mismos, con los destinatarios reales ocultos en el campo Bcc, y simulaban notificaciones de intercambio de archivos. El archivo adjunto, llamado “23mb – PDF- 6 pages.svg”, contenía scripts embebidos que redirigían a los usuarios a una página CAPTCHA falsa, probablemente con la intención de llevarlos a un formulario de inicio de sesión fraudulento.

Técnicas de ofuscación impulsadas por IA

El archivo SVG destacó por su estilo inusual de ofuscación. En lugar de cifrado tradicional, los atacantes ocultaron la carga maliciosa usando terminología empresarial. Elementos invisibles simulaban un panel de control de negocio, mientras que términos como “revenue” (ingresos), “operations” (operaciones) y “risk” (riesgo) estaban codificados como atributos ocultos. Luego, JavaScript embebido convertía estos términos en instrucciones maliciosas para redirigir navegadores y rastrear sesiones.

El Security Copilot de Microsoft analizó el código y concluyó que probablemente fue generado por un modelo de lenguaje grande (LLM), basándose en señales como:

• Nombres de funciones muy descriptivos con sufijos aleatorios
• Bloques de código modulares y sobrecomplicados
• Comentarios verbosos y genéricos en lenguaje empresarial formal
• Técnicas de ofuscación formulaicas
• Uso inusual de CDATA y declaraciones XML

“Este tipo de código es poco probable que haya sido escrito manualmente”, destacó Microsoft, subrayando la sofisticación y verbosidad que la IA introduce.

Cómo detuvo Microsoft el ataque

A pesar de la avanzada ofuscación, Microsoft Defender para Office 365 detectó y bloqueó la campaña analizando patrones en la infraestructura, la entrega de los correos y el contexto de los mensajes. Los indicadores clave incluyeron:

• Correos autoenviados con destinatarios ocultos en Bcc
• Archivo SVG inusual disfrazado de PDF
• Dominio de redirección previamente vinculado a phishing
• Actividad de red sospechosa, como seguimiento de sesiones y fingerprinting del navegador

Estos indicios permitieron que Microsoft detuviera la campaña antes de que causara daños.

Recomendaciones para las organizaciones

Aunque los ataques de phishing generados por IA producen código más sofisticado, también dejan artefactos detectables. Microsoft recomienda que las organizaciones adopten las siguientes medidas para mitigar amenazas similares:

• Activar Safe Links en Microsoft Defender para Office 365
• Habilitar Zero-hour Auto Purge (ZAP)
• Usar métodos de autenticación resistentes al phishing
• Activar protección en la nube en soluciones antivirus

Este caso refleja una tendencia creciente: tanto los atacantes como los defensores están utilizando cada vez más la IA. Si bien los ciberdelincuentes emplean la IA para mejorar sus ataques, los sistemas de seguridad avanzados siguen siendo capaces de identificar y neutralizar amenazas potenciadas por IA antes de que causen daños.

Fuente: https://www.infosecurity-magazine.com/news/ai-generated-code-phishing