FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全研究人员近期发现，网络犯罪分子正越来越多地利用人工智能（AI）技术提升攻击能力。一起复杂的钓鱼攻击活动展示了这一趋势，该活动代表了恶意软件混淆技术的重大演进——攻击者使用AI生成的代码将恶意载荷伪装成合法的商业文档。

AI辅助攻击技术演进

这起主要针对美国机构的攻击活动，采用了与传统加密混淆方法截然不同的载荷隐藏方式。攻击者没有使用常规加密技术，而是借助AI生成复杂的代码结构，这些代码模仿了合法的商业分析仪表盘，并运用商业术语来掩盖恶意功能。

微软研究人员通过检测到可疑的电子邮件活动发现了该攻击活动。分析显示，这些恶意代码在复杂性、冗余度和结构模式上都强烈表明其创作过程中获得了AI辅助。微软Security Copilot评估认为，这些代码"由于其复杂性、冗余度和缺乏实际效用，通常不会由人类从头编写"。

精心设计的攻击向量

攻击者利用被入侵的小型企业邮箱账户分发旨在窃取用户凭证的钓鱼邮件。他们采用了自地址邮件策略——发件人和收件人地址相同，而实际目标则隐藏在密送(BCC)字段中，试图绕过基础的检测机制。

该攻击活动的核心是使用SVG（可缩放矢量图形）文件作为主要攻击载体。名为"23mb - PDF- 6 pages.svg"的恶意文件虽然使用SVG扩展名，却被设计成看起来像合法的PDF文档。SVG文件基于文本且支持脚本的特性，使攻击者能够在文件结构中直接嵌入JavaScript和其他动态内容，同时保持良性图形文件的外观。

商业术语混淆技术

该攻击活动最具创新性的方面在于其复杂的混淆方法，这与传统的恶意软件隐藏技术截然不同。攻击者没有采用传统的加密混淆，而是利用AI生成代码，系统性地使用商业相关术语和合成组织结构来掩盖恶意功能。

SVG文件的初始结构被精心设计成类似合法的"业务绩效仪表盘"，包含图表条、月份标签和分析元素。然而，这些组件通过透明度设置为0和透明填充属性，对用户完全不可见。这一欺骗层作为诱饵，旨在误导简单检查，同时隐藏文件的真实恶意目的。

恶意载荷的核心功能隐藏在一个复杂的编码方案中，该方案使用了大量商业相关术语序列。诸如"收入"、"运营"、"风险"和"股份"等词语被连接成SVG结构中一个不可见文本元素的隐藏数据分析属性。这种创造性方法将看似无害的商业元数据转化为功能性恶意代码。

嵌入的JavaScript通过这些商业术语进行多步转换处理，将术语对或序列映射到特定字符或指令。随着脚本执行，它会解码序列并重建隐藏功能，实现浏览器重定向、指纹识别和会话跟踪能力。这种方法展示了AI生成的混淆如何创建全新的载荷隐藏范式，同时保持功能有效性。

参考来源：

Hackers Leverage AI-Generated Code to Obfuscate Its Payload and Evade Traditional Defenses

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）