AI-bazirani phishing alat cilja Microsoftove korisnike i krade vjerodajnice

· Sanja Ledinek

AI-bazirani phishing alat cilja Microsoftove korisnike i krade vjerodajnice -.2

Istraživači kibernetičke sigurnosti otkrili su novu, iznimno sofisticiranu phishing kampanju usmjerenu prvenstveno na korisnike Microsoft Outlooka. Riječ je o alatu razvijenom na španjolskom jeziku, što jasno pokazuje fokus na španjolsko govorno područje, ali i potencijalno širenje na globalnoj razini. Kampanja, koju istraživači prate pod kodnim imenom “Mycelial Mage”, pokazuje obilježja modernog kibernetičkog kriminala: visoku razinu automatizacije, modularni dizajn i jasne naznake da je u razvoju ili optimizaciji korištena umjetna inteligencija.

Za razliku od klasičnih phishing napada koji se oslanjaju na jednostavne lažne stranice i loš prijevod, Mycelial Mage koristi tehnički napredne metode skrivanja, protiv-analitičke mehanizme i pametno odabrane kanale za krađu podataka. Istraga je započela u kolovozu 2025., no tragovi aktivnosti sežu barem do ožujka iste godine, a istraživači vjeruju da stvarni opseg operacije može biti znatno veći.

Prepoznatljiv “potpis” kampanje

Jedan od neobičnijih, ali vrlo korisnih elemenata za istraživače je karakteristični identifikator ugrađen izravno u zlonamjerni kod: niz znakova s četiri gljivasta emojija i referencom na Outlook:

AI-bazirani phishing alat cilja Microsoftove korisnike i krade vjerodajnice

Ovaj “potpis” djeluje poput digitalnog žiga, omogućujući sigurnosnim timovima da povežu različite varijante i implementacije iste kampanje. Takva dosljednost nije česta u klasičnim phishing napadima i upućuje na organizirani razvojni proces, a ne na ad-hoc kriminalne pokušaje.

Evolucija alata: od osnovnog phishinga do AI-potpore

Analiza koda pokazuje da je Mycelial Mage prošao kroz najmanje tri faze evolucije. Rane verzije bile su relativno jednostavne, s modularnom arhitekturom koja je odvajala konfiguracijske podatke od logike izvršavanja. To je već tada olakšavalo brze prilagodbe kampanje različitim ciljevima. Kasnije verzije donose znatno ozbiljnije obrambene mehanizme protiv analize, uključujući: dinamičke zamke koje se aktiviraju kada se otvore razvojni alati, preuzimanje konzolnih metoda kako bi se spriječilo praćenje izvođenja koda, samoreferencijalne regularne izraze koji otežavaju parsiranje i mogu namjerno “slomiti” alate za analizu.

Najnovije varijante posebno se ističu čistoćom i dosljednošću koda. Funkcije su jasno imenovane, uvlačenje je pravilno, a komentari su detaljni i napisani na prirodnom španjolskom jeziku. Ovo je u oštrom kontrastu s ranijim verzijama koje su bile neuredne i teško čitljive. Takva transformacija snažno sugerira korištenje generativnih AI alata u procesu pisanja, optimizacije ili zamagljivanja koda, ili pak prisutnost vrlo iskusnog programera koji koristi AI kao “kopilota”.

Kako funkcionira krađa podataka

Mehanizam krađe informacija dosljedan je kroz sve varijante alata. Nakon što se phishing skripta izvrši, alat prvo prikuplja osnovne podatke o sustavu žrtve. To uključuje pozive legitimnim IP geolokacijskim servisima poput api.ipify.org i ipapi.co, čime se dobivaju IP adresa, grad i država korisnika. Ukradeni podaci obično uključuju: e-mail adresu, lozinku, IP adresu i lokaciju. Sve se šalje u standardiziranom formatu, s već spomenutim “gljivastim” potpisom kampanje, što dodatno potvrđuje centralizirani način obrade i pohrane podataka.

AI-bazirani phishing alat cilja Microsoftove korisnike i krade vjerodajnice _3

Zašto je prijelaz s Telegrama na Discord važan

Jedan od ključnih strateških pomaka u kampanji je migracija s Telegram botova na Discord webhookove kao primarni kanal za izvlačenje podataka. Ova odluka pokazuje duboko razumijevanje obrambenih i forenzičkih mehanizama. Telegram botovi, iako jednostavni za implementaciju, nose rizik: ako napadač koristi Windows sustav, postoji mogućnost kompromitacije bot tokena, što istraživačima može omogućiti uvid u povijest poruka ili API metapodatke. Discord webhookovi, s druge strane, funkcioniraju kao jednosmjerni kanali. Jednom kada se podaci pošalju, ne postoji jednostavan način da treća strana pristupi povijesti komunikacije samo na temelju URL-a. Time se stvara gotovo “nevidljiv” kanal curenja podataka, koji znatno otežava praćenje i zaustavljanje kampanje.

Distribuirana infrastruktura, centralizirana logika

Mycelial Mage ne djeluje kao jedna jedinstvena phishing kampanja, već kao ekosustav. Infrastruktura za isporuku zlonamjernog koda raspoređena je po različitim IP rasponima i autonomnim sustavima, što povećava otpornost na gašenje pojedinih čvorova. Istovremeno, sloj za ekstrakciju podataka pokazuje visoku razinu centralizacije i ponovne upotrebe – Telegram tokeni i Discord webhookovi povezuju inače izolirane dijelove infrastrukture. To ukazuje na pažljivo planiranu operativnu optimizaciju, kakva se obično viđa u profesionalnim kibernetičkim grupama.

Širi trend i što to znači za korisnike

Nalazi oko Mycelial Magea odražavaju zabrinjavajući trend u svijetu krađe vjerodajnica: phishing napadi postaju pametniji, čišći i prilagodljiviji, a granica između klasičnog malwarea i AI-potpomognog kriminala sve je tanja. Za korisnike Microsoft Outlooka – osobito u španjolskim govornim područjima – ovo znači da osnovna pravila opreza postaju važnija nego ikad. Neobične obavijesti o provjeri računa, zahtjevi za ponovnom prijavom ili e-mailovi koji stvaraju osjećaj hitnosti trebaju se promatrati s velikom sumnjom.

U eri u kojoj umjetna inteligencija pomaže i obrani i napadu, razlika između sigurnosti i kompromitacije često se svodi na jednu pogrešnu prijavu. Budnost, višefaktorska autentifikacija i razumijevanje kako moderni phishing izgleda postaju ključni alati svakog korisnika interneta.

DRUGE NOVOSTI