Эксперты по кибербезопасности из HP Wolf Security обнаружили тревожную тенденцию: киберпреступники начали активно использовать искусственный интеллект (ИИ) для создания вредоносного программного обеспечения. Недавнее исследование атак, направленных на французских пользователей, выявило применение малвари AsyncRAT, код которой явно был создан с помощью генеративного ИИ.
Эволюция киберугроз: от фишинга к ИИ-разработанной малвари
Ранее специалисты по информационной безопасности предупреждали о потенциальном использовании генеративного ИИ злоумышленниками для создания убедительных фишинговых писем и голосовых дипфейков. Однако теперь мы наблюдаем новый этап — применение ИИ непосредственно для разработки вредоносного ПО. Весной 2023 года исследователи из Proofpoint уже сообщали о PowerShell-скрипте, вероятно созданном с помощью языковой модели (LLM), для распространения инфостилера Rhadamanthys.
Анатомия ИИ-созданной атаки: HTML smuggling и AsyncRAT
Специалисты HP Wolf Security зафиксировали новую вредоносную кампанию в начале июня, нацеленную на французских пользователей. Атаки начинались с фишинговых писем, содержащих зашифрованное HTML-вложение, якобы являющееся счетом-фактурой. Злоумышленники использовали технику HTML smuggling, внедрив ключ AES в JavaScript внутри вложения.
После расшифровки вложения обнаружился VBScript, предназначенный для закрепления на зараженной машине путем создания запланированных задач и новых ключей в реестре Windows. Ключевым признаком использования ИИ стала необычно подробная структура и комментирование кода, что нехарактерно для обычных вредоносных скриптов, создаваемых людьми.
Особенности ИИ-генерированного кода
- Тщательно структурированный и закомментированный код
- Подробные описания назначения каждого фрагмента кода
- Использование французского языка для имен функций и переменных
Конечной целью атаки было внедрение AsyncRAT — свободно распространяемой малвари с открытым исходным кодом. Это вредоносное ПО способно перехватывать нажатия клавиш, обеспечивать зашифрованное соединение с зараженной машиной и загружать дополнительные вредоносные модули.
Последствия использования ИИ в киберпреступности
Применение генеративного ИИ в создании вредоносного ПО открывает новые возможности для киберпреступников, особенно для тех, кто обладает низкой квалификацией. Теперь они могут быстро создавать сложное вредоносное ПО и адаптировать его для атак на различные платформы, включая Linux, macOS и Windows. Даже опытные злоумышленники могут использовать ИИ для ускорения разработки и повышения эффективности своих атак.
Эта тенденция подчеркивает необходимость постоянного совершенствования систем кибербезопасности и повышения осведомленности пользователей о новых угрозах. Организациям и частным лицам рекомендуется усилить меры защиты, регулярно обновлять программное обеспечение и быть особенно бдительными при работе с электронной почтой и подозрительными файлами. Только комплексный подход к кибербезопасности поможет противостоять растущей угрозе ИИ-powered атак.