Microsoft neutraliza campaña de fraude por email que usaba falsos PDF

• Microsoft ha detectado y bloqueado una campaña de phishing que empleaba código generado por inteligencia artificial.
• Los atacantes ocultaron un archivo SVG malicioso dentro de un documento que simulaba ser un PDF.
• La IA se usó para crear un código que, aunque pulido, carecía de practicidad, facilitando su detección por herramientas de seguridad.

Microsoft ha anunciado la neutralización de una sofisticada campaña de phishing que utilizaba código generado por inteligencia artificial (IA) para engañar a los usuarios. Los atacantes emplearon un archivo SVG (Scalable Vector Graphics) que se hacía pasar por un documento PDF, ocultando en su interior código malicioso diseñado para robar credenciales. Este método representa una evolución en las tácticas de ciberdelincuencia, donde la IA se convierte en una herramienta para crear señuelos más convincentes y cargas útiles complejas.

La campaña se originaba desde una cuenta de correo electrónico comprometida de una pequeña empresa, enviando mensajes que parecían ser internos pero que ocultaban los destinatarios reales en el campo CCO (Copia Oculta). El archivo adjunto, nombrado para simular un PDF, contenía en realidad elementos SVG con un diseño similar a un panel de control empresarial. Un script incrustado en el SVG transformaba palabras relacionadas con negocios en código que revelaba la carga útil oculta. Al ser abierto, el archivo redirigía a los usuarios a una página de captura de CAPTCHA, una táctica común de ingeniería social que a menudo conduce a páginas de inicio de sesión falsas diseñadas para sustraer información sensible.

Las herramientas de seguridad de Microsoft, como Microsoft Defender for Office 365 y Security Copilot, jugaron un papel crucial en la detección. Security Copilot identificó características consistentes con la salida de modelos de lenguaje grandes (LLM), como identificadores descriptivos extensos, estructuras modulares repetitivas y comentarios genéricos. Estos rasgos, aunque daban una apariencia pulida al código, indicaban su origen artificial y falta de practicidad. El sistema también detectó el patrón inusual del correo electrónico auto-dirigido, el archivo SVG disfrazado, la redirección a un sitio de phishing conocido y los métodos de seguimiento empleados en la página fraudulenta. Aunque el incidente fue contenido y bloqueado rápidamente, y se dirigió principalmente a organizaciones estadounidenses, subraya la creciente experimentación de los ciberdelincuentes con la IA para crear ataques más efectivos.