Aanvallers laten LLM's in realtime kwaadaardige JavaScript genereren

Hiervoor waarschuwt Unit 42, het onderzoeksteam van Palo Alto Networks, op basis van onderzoek. Aanvallers gebruiken de techniek om bestaande beveiligingsmaatregelen te ontwijken, wat organisaties dwingt hun verdedigingsstrategieën aan te passen om deze geavanceerde bedreigingen het hoofd te bieden.

In realtime en afgestemd op slachtoffer

Uit het rapport blijkt onder meer:

• Phishing in realtime gegenereerd: Aanvallers zetten Large Language Models (LLM’s) in om schadelijke JavaScript-code pas te creëren op het moment dat deze in de browser van het slachtoffer wordt uitgevoerd. Hierdoor worden traditionele detectiemethoden op netwerk- en gatewayniveau omzeild.
• Aangepaste aanvallen per slachtoffer: Elke phishingaanval wordt uniek gegenereerd voor het specifieke doelwit, waardoor statische handtekeningen en blokkeerlijsten nauwelijks nog effectief zijn.
• Misbruik van betrouwbare AI-platforms: De schadelijke code wordt verspreid via legitieme domeinen van LLM-diensten, waardoor het kwaadaardige verkeer zich vermengt met normaal en vertrouwd API-verkeer.
• Omzeilen van beveiligingsmechanismen: Aanvallers weten de ingebouwde beveiliging van LLM’s te omzeilen door ze te misleiden met ogenschijnlijk onschuldige programmeeropdrachten.

Omdat deze aanvallen pas tijdens de uitvoering worden gegenereerd en gebruikmaken van vertrouwde infrastructuur, zijn veel traditionele beveiligingsoplossingen niet toereikend om deze dreiging tijdig te signaleren. Unit 42 benadrukt dat realtime gedragsanalyse binnen de browser cruciaal is om deze nieuwe generatie aanvallen direct te detecteren en te stoppen.

Meer informatie is te vinden in het onderzoek 'The Next Frontier of Runtime Assembly Attacks: Leveraging LLMs to Generate Phishing JavaScript in Real Time'.