Published on

Phishing com IA da Microsoft: SVG Engana Segurança

Authors

Microsoft alerta sobre phishing com IA: arquivos SVG criados por LLM burlam segurança de e-mail

A Microsoft identificou uma nova campanha de phishing direcionada a organizações dos EUA que provavelmente utilizou código gerado por grandes modelos de linguagem (LLMs) para ofuscar cargas maliciosas e evadir defesas de segurança.

Ataque sofisticado com IA

A campanha, detectada em 28 de agosto de 2025, demonstra como criminosos estão adotando ferramentas de IA em seus fluxos de trabalho para criar iscas de phishing mais convincentes, automatizar ofuscação de malware e gerar código que imita conteúdo legítimo.

Técnica de engenharia social

Os atacantes comprometeram contas de e-mail corporativas legítimas para enviar mensagens de phishing que se passam por notificações de compartilhamento de arquivos. As vítimas recebem o que parece ser um documento PDF, mas na verdade é um arquivo SVG (Scalable Vector Graphics) malicioso.

Características do ataque

  • E-mail auto-endereçado: Remetente e destinatário são o mesmo endereço
  • Alvos ocultos: Destinatários reais colocados no campo CCO
  • Redirecionamento: Arquivo SVG leva a página com CAPTCHA e depois a login falso
  • Ofuscação avançada: Código disfarçado com terminologia empresarial

Evidências de uso de LLM

A Microsoft analisou o código com seu Security Copilot e identificou indicadores de geração por IA:

  • Nomenclatura excessivamente descritiva e redundante
  • Estrutura modular e superengenharia
  • Comentários genéricos e verbosos
  • Técnicas formulares de ofuscação usando termos de negócios
  • Uso de CDATA e declaração XML no arquivo SVG

Contexto mais amplo

Enquanto isso, outras campanhas de phishing têm usado anexos .XLAM para distribuir o malware XWorm RAT, além de iscas relacionadas à Administração da Previdência Social dos EUA e violação de direitos autorais para distribuir stealers como Lone None Stealer e PureLogs Stealer.

A Microsoft ressalta que, embora esta campanha específica tenha sido limitada e bloqueada, técnicas similares estão sendo cada vez mais adotadas por diversos grupos de ameaças.