近日，卡巴斯基安全團(tuán)隊(duì)披露新型網(wǎng)絡(luò)攻擊手段，黑客正利用無代碼 AI 建站平臺(tái) Bubble 生成并托管惡意網(wǎng)頁應(yīng)用，專門用于盜取微軟賬戶憑證。

合法平臺(tái)的惡意濫用

Bubble是一種允許用戶無需編寫代碼，僅通過可視化界面或自然語言描述即可快速構(gòu)建網(wǎng)頁應(yīng)用程序的合法商業(yè)平臺(tái)。然而，攻擊者正是利用了該平臺(tái)的這一特性，將其轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)釣魚的"隱形外衣"。

黑客通過Bubble平臺(tái)創(chuàng)建高度偽裝的微軟登錄門戶，這些假冒頁面有時(shí)還會(huì)刻意隱藏在Cloudflare的安全驗(yàn)證背后，進(jìn)一步增加迷惑性。一旦用戶在這些頁面輸入賬號(hào)密碼，黑客便能輕易獲取憑證，進(jìn)而肆意訪問受害者的電子郵件、日歷及其他存儲(chǔ)在Microsoft 365中的敏感數(shù)據(jù)。

技術(shù)原理：為何難以檢測(cè)？

這種新型釣魚手段之所以能頻頻得手，主要?dú)w功于巧妙濫用合法平臺(tái)。Bubble作為一個(gè)由AI驅(qū)動(dòng)的無代碼開發(fā)平臺(tái)，支持用戶通過自然語言描述自動(dòng)生成應(yīng)用的前后端邏輯。

域名信譽(yù)優(yōu)勢(shì)：生成的應(yīng)用會(huì)統(tǒng)一托管在Bubble的基礎(chǔ)設(shè)施及受信任的域名(*.bubble.io)下。電子郵件安全防護(hù)系統(tǒng)通常不會(huì)將此類高信譽(yù)域名標(biāo)記為潛在威脅，因此包含這些鏈接的釣魚郵件能夠輕松穿透攔截網(wǎng)，直接送達(dá)目標(biāo)用戶的收件箱。

代碼復(fù)雜性：卡巴斯基研究人員指出，由Bubble平臺(tái)自動(dòng)生成的代碼本質(zhì)上是大量復(fù)雜JavaScript與孤立影子DOM(文檔對(duì)象模型)結(jié)構(gòu)的混合體。常規(guī)的靜態(tài)掃描和自動(dòng)化網(wǎng)頁代碼分析算法在處理這些龐雜的代碼時(shí)往往會(huì)陷入邏輯混亂，最終錯(cuò)誤地將其判定為功能正常的實(shí)用網(wǎng)站。

即便是經(jīng)驗(yàn)豐富的安全專家，也需要耗費(fèi)大量精力進(jìn)行深度逆向分析，才能看透其真實(shí)的惡意目的。

攻擊門檻的顯著降低

這種攻擊方式的危險(xiǎn)之處不在于技術(shù)難度，而在于可復(fù)制性。攻擊者不再需要精通前端開發(fā)或服務(wù)器配置，只需購買或復(fù)制一個(gè)現(xiàn)成的Bubble模板，稍作修改即可在幾分鐘內(nèi)上線一個(gè)功能完備的釣魚站點(diǎn)。

研究人員警告，該策略未來極有可能被"釣魚即服務(wù)"(PhaaS)黑產(chǎn)平臺(tái)大規(guī)模采納，并被無縫整合到低階網(wǎng)絡(luò)罪犯廣泛使用的傻瓜式釣魚工具包中。鑒于這些黑產(chǎn)平臺(tái)目前已經(jīng)集成了會(huì)話Cookie盜取、繞過雙重認(rèn)證(2FA)等高級(jí)技術(shù)，濫用合法AI平臺(tái)的加入無疑將使防御難度呈指數(shù)級(jí)上升。

卡巴斯基全球研究與分析團(tuán)隊(duì)(GReAT)專家指出，攻擊者正越來越多地利用人工智能生成代碼、釣魚郵件以及各類攻擊行動(dòng)內(nèi)容。與人工撰寫的材料不同，AI生成的內(nèi)容通常更加中性化和標(biāo)準(zhǔn)化，缺乏過去有助于開展攻擊歸因分析的獨(dú)特語言錯(cuò)誤或編碼模式。

這種技術(shù)升級(jí)使得網(wǎng)絡(luò)釣魚活動(dòng)能夠以更低的成本實(shí)現(xiàn)更廣泛的覆蓋和更高的成功率。防御者應(yīng)該做好準(zhǔn)備，應(yīng)對(duì)攻擊者策略的快速轉(zhuǎn)變。

隨著無代碼AI工具的普及，網(wǎng)絡(luò)安全防護(hù)需要從傳統(tǒng)的代碼特征匹配轉(zhuǎn)向?qū)?yīng)用行為邏輯和構(gòu)建元數(shù)據(jù)的深度審計(jì)。只有通過多維度的檢測(cè)框架，包括域名行為分析、頁面結(jié)構(gòu)語義校驗(yàn)及客戶端動(dòng)態(tài)沙箱等技術(shù)手段，才能有效應(yīng)對(duì)這一新型威脅。

免責(zé)聲明：本文部分文字、圖片、音視頻來源于網(wǎng)絡(luò)、AI，不代表本站觀點(diǎn)，版權(quán)歸版權(quán)所有人所有。本文無意侵犯媒體或個(gè)人知識(shí)產(chǎn)權(quán)，如有異議請(qǐng)與我們聯(lián)系。

ice

收藏 海報(bào)分享