Найдены доказательства использования ИИ при создании вредоносного ПО для таргетированных атак

В последнем отчете HP Wolf Security указывается на использование искусственного интеллекта (ИИ) для создания вредоносных скриптов. Хакеры использовали технологию для разработки рекламы, которая использовалась для распространения ИТ-инструментов для работы с PDF-файлами и вредоносное программное обеспечение (ПО).

Вред от ИИ-технологий

Аналитики по информационной безопасности (ИБ) HP Wolf Security изучили недавние атаки, направленные на французских пользователей, и обнаружили, что для распространения малвари AsyncRAT используется вредоносный код, явно созданный при помощи ИИ-технологий. Об этом в конце сентября 2024 г. аналитики написали в блоге компании.

Злоумышленники уже некоторое время используют генеративный ИИ (GenAI) для создания убедительных фишинговых приманок, но до сегодняшнего дня было мало доказательств того, что хакеры использовали эту технологию для написания вредоносного кода в реальных условиях. Однако во втором квартале этого года группа HP Threat Research выявила вредоносную кампанию, распространяющую AsyncRAT с использованием VBScript и JavaScript, которая, скорее всего, была написана с помощью GenAI. Структура скриптов, комментарии и выбор имен функций и переменных были убедительными подсказками того, что хакеры использовал GenAI для создания вредоносного ПО. Эта активность показывает, как GenAI ускоряет кибератаки и снижает планку для киберпреступников по заражению конечных точек.

Расшифрованное вложение содержало VBScript, после изучения которого, исследователи HP Wolf Security выяснили, что злоумышленник тщательно закомментировал и структурировал весь код, что редко случается, если над кодом работал человеком.

ИБ-исследователи обнаружили доказательства использования злоумышленниками ИИ для создания вредоносного ПО

ChromeLoader - это популярное семейство вредоносных программ для веб-браузеров, позволяющее злоумышленникам захватывать сеанс просмотра жертвы и перенаправлять поисковые запросы на контролируемые хакерами веб-сайты. В 2024 г. Кибератаки с ChromeLoader были масштабнее и более отточенными, полагаясь на вредоносную рекламу для направления жертв на веб-сайты, предлагающие ИТ-инструменты для повышения производительности, такие как конвертеры PDF. Эти рабочие приложения скрывали вредоносный код в файлах MSI, в то время как действительные сертификаты подписи кода помогали вредоносному ПО обходить политики безопасности операционной системы (ОС) Windows, увеличивая вероятность заражения. Сам же VBScript предназначался для закрепления на зараженном ПК, тем самым, создавая запланированные задачи и новые ключи в реестре Windows.

Инфекционная цепочка, ведущая к AsyncRAT

Злоумышленники всегда ищут необычные способы заражения конечных точек в надежде избежать обнаружения. Аналитики HP Threat Research выявила кампанию, примечательную распространением вредоносного ПО через масштабируемую векторную графику (SVG). Широко используемый в графическом дизайне формат SVG основан на XML и поддерживает множество функций, включая скрипты. Злоумышленники злоупотребляли функцией скриптов формата, внедряя вредоносный JavaScript в изображения, что в конечном итоге привело к тому, что несколько похитителей информации попытались заразить конечную точку жертвы.

Отрывок кода из VBScript, содержащий признаки того, что он написан GenAI

В итоге в ИТ-систему пользователя-жертвы загружался и выполнялся AsyncRAT. Это свободно распространяемая малварь с открытым исходным кодом, которая позволяет перехватывать нажатия клавиш, обеспечивает зашифрованное соединение с машиной пострадавшего, а также может скачивать дополнительные полезные нагрузки.

AES в JavaScript

Исследователи из HP Wolf Security предупреждают, что технология генеративного ИИ может позволить низкоквалифицированным преступникам писать вредоносные программы за считанные минуты, адаптируя их для атак на различные платформы, включая Linux, macOS и Windows. Даже опытные хакеры могут не использовать ИИ для разработки, но могут использовать его для ускорения своей работы, что увеличивает потенциал киберугроз и усложняет задачу ИБ-экспертов по безопасности по отслеживанию эволюции кибератак.

Генеративный ИИ

Генеративный ИИ – это тип ИИ-технологии, который может создавать новый контент и идеи, включая разговоры, истории, изображения, видео и музыку. ИИ-технологии пытаются имитировать человеческий интеллект в таких нетрадиционных вычислительных задачах, как распознавание изображений, обработка естественного языка (NLP) и перевод. Генеративный ИИ – это следующий шаг в разработке ИИ. Юзеры могут научить его изучать человеческий язык, языки программирования, искусство, химию, биологию и любые сложные предметы. Технология использует изученные данные для решения новых задач. Например, Генеративный ИИ может выучить английскую лексику и создавать из нее стихотворения. Пользовательская организация может использовать генеративный ИИ для различных целей, таких как чат-боты, создание мультимедийных материалов, разработка и дизайн продуктов.

Приманка PDF

Приложения на основе генеративного ИИ, такие как ChatGPT, привлекают всеобщее внимание и поражают воображение. С их помощью можно переосмыслить большинство процессов взаимодействия с клиентами и разработать новые, невиданные ранее приложения, а также помочь клиентам достичь новых показателей производительности.

Алгоритмы генеративного ИИ могут по-новому исследовать и анализировать сложные данные. Таким образом, исследователи могут обнаруживать новые тенденции и закономерности, которые в других случаях могут быть не очевидны. Эти алгоритмы способны обобщать информацию, описывать несколько путей решения, генерировать идеи и создавать подробную документацию на основе записей исследований. Именно поэтому данная технология значительно повышает эффективность исследований и инноваций. Например, системы генеративного ИИ используются в фармацевтической промышленности для генерации и оптимизации белковых последовательностей, а также значительного ускорения создания лекарственных препаратов.