Palo Alto Networks: nuovo exploit di phishing runtime basato su LLM
Il team di threat intelligence di Palo Alto Networks, Unit 42, presenta una nuova analisi che prende in esame una “possibile evoluzione significativa nel modo in cui i cybercriminali sfruttano gli LLM per lanciare attacchi di phishing più efficaci e per esplorare la prossima frontiera degli attacchi web”, come sottolineano gli esperti di Palo Alto.
La ricerca di Palo Alto Networks
La ricerca descrive nel dettaglio una nuova tecnica con la quale gli attaccanti “potrebbero utilizzare gli LLM per assemblare attacchi di phishing direttamente nel browser al momento dell’esecuzione”, specificano.
Ma perché si tratterebbe di un punto di svolta per gli attaccanti?
“Innanzitutto – precisano da Palo Alto Networks – vi è l’offuscamento basato su prompt, in cui il codice malevolo è celato in prompt testuali per eludere l’analisi di rete, ‘traducendosi’ in un attacco solo una volta raggiunto il browser.
In secondo luogo, i payload unici per vittima comportano che l’LLM generi una variante unica e polimorfica per ogni singola vittima, rendendo inutili firme statiche e blacklist. Inoltre, il codice malevolo viene trasmesso tramite domini legittimi di servizi LLM, permettendo al traffico dannoso di confondersi con chiamate API fidate. Infine, il bypass dei guardrail si verifica quando gli attaccanti possono effettuare il ‘jailbreak’ delle API LLM per iniettare codice malevolo sotto falsa veste di codice legittimo”.
Quale potrebbe essere una possibile soluzione difensiva?
“La difesa più efficace da questa nuova classe di minacce è l’analisi comportamentale effettuata in runtime, capace di rilevare e bloccare attività malevole nel punto di esecuzione, direttamente nel browser”, concludono da Unit 42 di Palo Alto Networks.
