Microsoft, Yapay Zekâ Destekli SVG Kimlik Avı Saldırılarını Analiz Etti

Anasayfa » Microsoft, Yapay Zekâ Destekli SVG Kimlik Avı Saldırılarını Analiz Etti
Haberler, Siber Güvenlik, Tehdit Analizi
Ekim 8, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Microsoft, Yapay Zekâ Destekli SVG Kimlik Avı Saldırılarını Analiz Etti

Microsoft Tehdit İstihbarat ekibi, büyük dil modelleri (LLM) kullanılarak hazırlanmış SVG dosyalarının kimlik avı saldırılarında yeni bir tehdit vektörü olarak ortaya çıktığını açıkladı. 28 Ağustos 2025 tarihinde tespit edilen bu saldırı zincirinde, önceden ele geçirilmiş iş e-posta hesapları üzerinden gönderilen kimlik avı mesajları, PDF gibi görünen ancak aslında JavaScript içeren SVG dosyaları içeriyor.

SVG Dosyalarının Kimlik Avı Saldırılarındaki Rolü

SVG dosyaları metin tabanlı ve script yazılabilir yapıları sayesinde saldırganlara etkileşimli ve dinamik kimlik avı yükleri oluşturma imkânı sunuyor. Microsoft, bu dosyaların görünmez öğeler, gecikmeli script yürütme ve kodlanmış öznitelikler gibi özelliklerle statik analiz ve sandboxing yöntemlerinden kaçınmak için ideal olduğunu belirtiyor. Açılan SVG dosyası, kullanıcıyı CAPTCHA doğrulaması içeren sahte bir sayfaya yönlendiriyor ve ardından kimlik bilgileri toplanıyor.

İş Terminolojisi ile Gizlenen Kötü Amaçlı Kod

Microsoft, kimlik avı içeriğinin iş terminolojisi kullanılarak gizlendiğini ve SVG kodunun başlangıcının meşru bir iş analitiği panosu gibi yapılandırıldığını tespit etti. Bu taktik, dosyayı yüzeysel inceleyenleri yanıltmayı amaçlıyor. Yükün işlevi, kullanıcıları kimlik avı açılış sayfasına yönlendirmek, tarayıcı parmak izi almak ve oturum takibi başlatmak için uzun iş terimleri dizisiyle kodlanmış durumda. Güvenlik Copilot ile analiz edilen kod, aşırı modüler, gereksiz detaylı ve insan tarafından sıfırdan yazılması zor bir yapıya sahip.

Benzer Tehditler ve Çok Aşamalı Saldırılar

Microsoft’un açıklaması, Forcepoint’in .XLAM ekleri içeren çok aşamalı kimlik avı saldırılarını raporlamasıyla paralellik gösteriyor. Bu saldırılar, bellek içi .DLL dosyası yükleme ve yansıtmalı DLL enjeksiyonu gibi ileri teknikler kullanarak kötü amaçlı yazılımın kalıcılığını sağlıyor. Ayrıca, ABD Sosyal Güvenlik İdaresi ve telif hakkı ihlali temalı kimlik avı kampanyaları da Cofense tarafından tespit edildi ve Telegram botları ile gizlenmiş Python scriptleri kullanılarak yürütülüyor.

, , , , , , ,