Unit 42, het onderzoeksteam van Palo Alto Networks, waarschuwt voor een nieuwe phishingtechniek waarbij aanvallers in real time kwaadaardige JavaScript genereren in de browser van het slachtoffer. Volgens het team maakt deze aanpak gebruik van taalmodellen en wordt de schadelijke code pas samengesteld op het moment van uitvoering.
Het onderzoeksteam Unit 42 van Palo Alto Networks beschrijft de techniek in een recent rapport over zogenoemde runtime assembly attacks. Daarbij wordt JavaScript niet vooraf verspreid of opgeslagen, maar dynamisch opgebouwd terwijl de pagina wordt uitgevoerd in de browser. Hierdoor blijven veel bestaande beveiligingsmaatregelen buiten spel, zoals netwerkdetectie en statische handtekeningen.
Volgens het rapport maken aanvallers gebruik van taalmodellen om per slachtoffer unieke phishingcode te genereren. Doordat elke aanval verschilt, verliezen blocklists en signatures grotendeels hun effect. De gegenereerde code wordt bovendien aangeleverd via legitieme domeinen van AI-diensten, waardoor het verkeer moeilijk te onderscheiden is van normaal API-gebruik.
Unit 42 stelt dat aanvallers in staat zijn om beveiligingsbeperkingen van deze diensten te omzeilen door ze te benaderen met ogenschijnlijk legitieme programmeeropdrachten. Omdat de kwaadaardige functionaliteit pas tijdens runtime ontstaat en gebruikmaakt van vertrouwde infrastructuur, zijn veel traditionele beveiligingsoplossingen niet ingericht om dit type aanval tijdig te herkennen.
Het onderzoeksteam meldt dat detectie daarom moet verschuiven naar gedragsanalyse in de browser zelf. Door code en interacties op het moment van uitvoering te analyseren, kan deze nieuwe vorm van phishing volgens de onderzoekers effectiever worden tegengehouden.
