Cybercriminelen zetten een volgende stap nu misleidende e mails niet alleen slimmer klinken maar ook slimmer zijn opgebouwd, Microsoft beschrijft hoe een campagne gebruikmaakt van door taalmodellen gegenereerde code die zich verschuilt in een SVG bestand dat lijkt op een keurige zakelijke grafiek. En compleet met termen als omzet en aandelen die in werkelijkheid dienen als sleutel om verborgen scripts te laten draaien en slachtoffers naar nagemaakte inlogpagina’s te sturen, het patroon past bij een bredere verschuiving waarin AI niet alleen lokteksten opstelt maar ook de techniek achter het aas verbergt.
De aanval begint bij een al gekraakt zakelijk e mailaccount dat een deling van een document voorwendt, het bijgevoegde bestand lijkt een pdf maar is een SVG die JavaScript draagt. De afzender lijkt zichzelf te mailen terwijl de echte doelwitten in BCC staan zodat simpele filters niets vermoeden. Wanneer dit eenmaal geopend is volgt een omweg via een captcha waarna een nepportaal inloggegevens oogst, Microsoft wijst erop dat de code niet klinkt als iets dat een ontwikkelaar uit de mouw schudt, langademig, overdreven modulair en vol generieke commentaarregels. Dit isn het soort synthetische opmaak waarmee statische analyse en sandboxing worden afgeschud.
Dat SVG zo aantrekkelijk is, heeft alles te maken met het tekstuele en scripteerbare karakter waardoor onzichtbare elementen, uitgestelde uitvoering en gecodeerde attributen kunnen worden ingezet om de lading te verbergen. De beveiligers signaleren al langer dat dit bestandsformaat handig is voor wie kruis site misbruik of kliks kaapt en de Microsoft casus laat zien hoe AI die mogelijkheden naar een hoger plan tilt. Want ook defensief komt AI nu in beeld, Security Copilot werd ingezet om de synthetische vingerafdruk te herkennen en de aanval te blokkeren, maar de les is dat deze aanpak navolging krijgt.
Terwijl deze campagne beperkt bleef, tonen andere dossiers dat aanvallers meerdere paden tegelijk lopen. Want Forcepoint beschrijft een keten waarin emails met bijlagen via shellcode naar XWorm leiden, reflectieve DLL injectie en in het geheugen geladen modules zorgen ervoor dat beveiliging later in de keten alsnog wordt omzeild. Al deze varianten verpakken de truc in schijnbaar lege of corrupte Office bestanden om argwaan te temperen, het einddoel blijft besturing op afstand en datadiefstal.
Ook lokmiddelen worden creatiever, Avigdor volgt campagnes die neppe juridische brieven sturen over vermeende auteursrechtenschendingen en slachtoffers via een Telegram profiel of ogenschijnlijk nette pdf naar info stealers duwen. De namen die terugkeren zijn PureLogs en een nieuwkomer die als Lone None bekendstaat, de tactiek wisselt per iteratie maar de kern blijft hetzelfde, urgentie en schijn van legitimiteit zetten mensen in beweging en de klik doet de rest.
Wie dit alles tot de kern wil terugbrengen, ziet drie bewegingen, AI wordt door aanvallers benut om code te verhullen in formaten die we als veilig ervaren. De aanvalsketens worden modulair zodat een geblokkeerde stap direct kan worden vervangen. En sociaal psychologische lokmiddelen blijven evolueren richting het taalgebruik en de processen van dagelijks werk. Daarom loont het om de verdediging te organiseren rondom gedrag, inhoud en keten in plaats van alleen rond bijlages en bijschriften, laat inkomende email op structuur scoren en niet alleen op woorden, behandel SVG als actief document, en herhaal binnen teams dat een bestand dat eruitziet als een grafiek net zo goed een programma kan zijn als een uitvoerbaar bestand. Bij organisaties die rapportage en respons trainen op echte voorbeelden merken dat risicobewustzijn stijgt zonder de bedrijfsvoering te verstoren. En wie daarbij heldere omwegen aanbiedt, denk aan veilige portals voor bestanden delen en aan snelle routes om verdachte berichten door te sturen, verlaagt de verleiding om buiten de lijntjes te klikken en maakt het verschil nog vóór de eerste waarschuwing oplicht
Disclaimer Dit artikel is informatief en geen beveiligingsadvies op maat, raadpleeg officiële bulletins en primaire bronnen bij het nemen van technische maatregelen.
