Wie LLM-generierte Scalable Vector Graphics Angriffsflächen öffnen : Phishing mit Hilfe von KI-generiertem Schadcode verschleiert

Angreifer nutzen kompromittierte Geschäftspostfächer, um täuschend echte E-Mails zu versenden. Die Nachricht enthält einen Anhang, der auf den ersten Blick wie ein Portable Document Format-Dokument (PDF) wirkt, in Wirklichkeit aber eine Scalable Vector Graphics-Datei (SVG) ist. Wird die Datei geöffnet, folgt eine Weiterleitung zu einer Captcha-Seite; nach erfolgreicher Bestätigung leitet die Kette oft auf eine gefälschte Loginseite, auf der Zugangsdaten abgeschöpft werden. Auffällig war auch die Nutzung selbstadressierter Nachrichten mit Empfängern im Blindkopie-Feld, eine Technik, die einfache Filter und Heuristiken umgehen kann.

Warum Scalable Vector Graphics als Tarnform funktionieren

Scalable Vector Graphics sind textbasierte, auf Extensible Markup Language aufbauende Bilddateien. Im Gegensatz zu klassischen Rasterbildern erlauben sie eingebettete Skripte (Java und andere), unsichtbare Elemente, kodierte Attribute und verzögerte Skriptausführung. Diese Eigenschaften ermöglichen es, interaktive Abläufe zu verpacken, die statische Scanner und einfache Sandboxes umgehen. Microsoft beschreibt das Verfahren so: „Scalable Vector Graphics-Dateien sind attraktiv für Angreifer, weil sie textbasiert und skriptfähig sind, was das Einbetten von JavaScript und anderem dynamischen Inhalt direkt in der Datei erlaubt. Das ermöglicht interaktive Phishing-Nutzlasten, die für Anwender und viele Sicherheitswerkzeuge harmlos erscheinen.“

Ungewöhnliche Obfuskation – Hinweise auf große Sprachmodelle

Microsoft beobachtete bei der analysierten Datei eine besondere Art der Verschleierung: Der Quelltext war so strukturiert, dass er auf den ersten Blick wie ein Business-Analytics-Dashboard wirkte – ein gezielter Köder, um oberflächliche Prüfungen in die Irre zu führen. „Der Beginn des Scalable Vector Graphics-Codes war so aufgebaut, dass er wie ein legitimes Business-Analytics-Dashboard aussah. Diese Taktik soll jemanden, der die Datei nur flüchtig prüft, in die Irre führen; in Wirklichkeit ist sie aber ein Köder“, so Microsoft.

Zur weiteren Einordnung führte Microsoft eine automatische Analyse mit dem Security Copilot durch, der den Code als ungewöhnlich komplex, umfangreich und wenig praktisch nutzbar bewertete – Eigenschaften, die eher auf automatisierte Codeerzeugung durch große Sprachmodelle als auf manuelle Entwicklung hindeuten.

Die wichtigsten technischen Indikatoren, die Microsoft zur Untermauerung dieser Einschätzung anführt, lauten:

• Übermäßig beschreibende und redundante Bezeichnungen für Funktionen und Variablen.
• Hochgradig modulare und überkonstruktive Code-Struktur.
• Generische und ausschweifende Kommentarblöcke ohne praktischen Mehrwert.
• Formelartige Techniken zur Verschleierung, die geschäftsnahe Terminologie wiederholt einsetzen.
• Einsatz von Character Data Sections und einer erklärenden Extensible Markup Language-Deklaration, offenbar in Anlehnung an Dokumentationsbeispiele. Microsoft

 Wie der Angriff einzuordnen ist

 Microsoft berichtet, dass der weitere Verlauf des Angriffs nach der Umleitung auf eine gefälschte Anmeldeseite nicht immer eindeutig rekonstruierbar war, weil die betroffenen Systeme die Bedrohung markiert und neutralisiert haben – trotzdem lässt sich die Grundintention klar beschreiben: Credential Harvesting in Kombination mit Browser-Fingerprinting und Sitzungsüberwachung.

In verwandten Vorfällen setzen Angreifer mehrstufige Loader ein: zunächst ein kleiner Stager, dann das Nachladen von Shellcode und reflektives Laden von dynamischen Linkbibliotheken in den Arbeitsspeicher, um Remote-Access-Tools auszuführen, ohne dauerhaft sichtbare Dateien auf der Festplatte abzulegen. Forcepoint hat ein gleichartiges Muster dokumentiert, bei dem ein Excel-Add-in Shellcode nutzt, um letztlich das Remote-Access-Tool XWorm zu laden; dabei spielte reflektive DLL-Injection eine zentrale Rolle. „Die zweite Stufe, die dynamische Linkbibliothek aus dem Arbeitsspeicher, benutzt stark verschleierte Pack- und Verschlüsselungstechniken“, so Forcepoint.

Erkennung und Analyse – worauf achten?

Auffällige Merkmale sind unter anderem Dateien im Format Scalable Vector Graphics, die sich als PDF-Dokumente ausgeben oder Character Data Sections enthalten, sowie E-Mails, bei denen Absender und Empfänger identisch sind und die eigentlichen Ziele im Blindkopie-Feld stehen. Laufzeitindikatoren sind kurzlebige Redirects zur Captcha-Prüfung, gefolgt von Formularen zur Eingabe von Zugangsdaten, sowie das Vorhandensein langer Sequenzen geschäftsbezogener Begriffe im Quelltext, die als Verschleierung fungieren. Parallel auftretende Signale, wie stark verschleierte Office-Anhänge oder reflektive Lademethoden, deuten auf eine mehrstufige Auslieferung hin. Die Korrelation von E-Mail-Telemetrie, Dateiinhaltsanalyse und Netzwerkbeobachtungen bleibt entscheidend.

Praktische Abwehrmaßnahmen

Anhänge im Scalable Vector Graphics-Format sollten standardmäßig wie ausführbare Inhalte behandelt werden: Das Inline-Rendering in E-Mail-Clients ist zu deaktivieren, und Anhänge sind in sicheren Analyseumgebungen auszuführen, bevor sie in Produktivumgebungen geöffnet werden. Mail-Filterregeln sind so anzupassen, dass Nachrichten mit identischem Absender und Empfänger kritisch bewertet und Blindkopie-Nutzung überwacht wird. Zur Erkennung sind statische Dateiprüfungen mit sandboxgestützten Verhaltensanalysen zu kombinieren und mit Netzwerktelemetrie zu koppeln, um kurze Redirects und Beaconing zu identifizieren. Script-Logging und Laufzeitüberwachung sollten aktiviert werden, um ungewöhnliche Netzwerkaufrufe, Base64-kodierte Skriptübergaben oder verzögerte Ausführungen zu entdecken. Ergänzend sind Schulungsmaßnahmen notwendig, die das Prüfen von Dateiendungen und das Melden verdächtiger Nachrichten fest verankern.

Kontext und Ausblick

Die beschriebene Kampagne steht exemplarisch für einen Trend: Angreifer missbrauchen zunehmend legitime Dateiformate und nutzen automatisierte Werkzeuge, um sowohl Inhalte als auch Codevarianten zu erzeugen und zu verschleiern. Die Kombination aus Scalable Vector Graphics als Transport und automatisierter Verschleierung erhöht die Variabilität der Nutzlasten und schwächt die Wirksamkeit rein signaturbasierter Erkennung.

Parallelmeldungen zu XWorm- und anderen mehrstufigen Kampagnen unterstreichen, dass Verteidiger auf verhaltensbasierte, telemetriebasierte und prozessuale Kontrollen setzen müssen, statt sich allein auf Dateisignaturen zu verlassen. In den letzten Wochen nutzten Phishing-Angreifer vermehrt Köder mit Bezug zur Sozialversicherungsbehörde der Vereinigten Staaten und zu angeblichen Urheberrechtsverletzungen, um über diese Vorwände Fernwartungssoftware wie ScreenConnect von ConnectWise, sowie Informationsdiebe wie Lone None Stealer und PureLogs Stealer zu verbreiten, berichtet Cofense.

„Die Akteure hinter der Kampagne geben sich häufig als Anwaltskanzlei aus, welche die Entfernung angeblich rechtsverletzender Inhalte verlangt“, so das Sicherheitsunternehmen. Auffällig ist der neuartige Einsatz einer Telegram-Bot-Profilseite zur Auslieferung der ersten Nutzlast, der Einsatz verschleierter, kompilierter Python-Skripte als Schadcode und die zunehmende Komplexität über mehrere Kampagnenschritte hinweg.

Fazit

Die aktuelle Phishingwelle demonstriert zwei Entwicklungen zugleich: Schadcode versteckt sich zunehmend in unauffälligen Dateiformaten, und künstliche Intelligenz kann die Verschleierung so automatisieren, dass menschliche Prüfer und klassische Abwehrmechanismen leichter getäuscht werden. Gegenmittel sind bekannt, aber aufwendig: organisatorische Regeln im Umgang mit Anhängen, technische Härtung von Mailclients und Endpunkten sowie die Verzahnung von E-Mail-, Endpunkt- und Netzwerktelemetrie bilden zusammen die beste Verteidigungslinie.