Аналітики HP Wolf Security вивчили нещодавні атаки, спрямовані на французьких користувачів, і виявили, що для поширення малварі AsyncRAT використовується шкідливий код, явно створений за допомогою ШІ.

Раніше ІБ-фахівці вже попереджали про те, що кіберзлочинці можуть використовувати генеративний ШІ для створення переконливих фішингових листів, голосових діпфейків та інших не надто легальних завдань.

Крім того, справа вже дійшла і до використання ШІ для розробки малварі. Так, навесні поточного року дослідники з компанії Proofpoint попереджали, що для поширення інфостилера Rhadamanthys застосовується PowerShell-скрипт, ймовірно, створений за допомогою LLM.

Атаки починалися зі звичайних фішингових листів, що містили приманку у вигляді якогось рахунку-фактури у форматі зашифрованого HTML-вкладення.

“У цьому випадку зловмисники впровадили ключ AES у JavaScript всередині вкладення. Таке трапляється нечасто, і це була основна причина, через яку ми звернули увагу на цю загрозу”, – пояснюють фахівці і додають, що обійти шифрування вдалося за допомогою звичайного брутфорса, оскільки було відомо, що розшифрований файл має бути ZIP-архівом.

Розшифроване вкладення містило VBScript, після вивчення якого з’ясувалося, що «зловмисник ретельно закоментував і структурував увесь код», що рідко трапляється, якщо над кодом працювала людина (зловмисники зазвичай прагнуть приховати, як працює їхнє малварь). VBScript призначався для закріплення на зараженій машині, створюючи заплановані завдання і нові ключі в реєстрі Windows.

“Ці коментарі докладно описували, для чого саме призначений код. Так зазвичай роблять генеративні ШІ-сервіси, коли надають приклади коду з поясненнями”, – пишуть експерти.

Також на роботу ШІ, за словами фахівців, вказувала структура скриптів, коментарі до кожного рядка, а також вибір французької мови для імен функцій і змінних.

У підсумку в систему жертви завантажувався і виконувався AsyncRAT. Це вільно розповсюджувана шахрайство з відкритим вихідним кодом, яка дає змогу перехоплювати натискання клавіш, забезпечує зашифроване з’єднання з машиною потерпілого, а також може завантажувати додаткові корисні навантаження.

Дослідники роблять висновок, що генеративний ШІ може допомогти низькокваліфікованим злочинцям за лічені хвилини написати шкідливе ПЗ і адаптувати його для атак на різні платформи (Linux, macOS, Windows тощо). І навіть якщо досвідчені зловмисники не використовують ШІ для фактичної розробки, вони можуть застосовувати його для прискорення роботи.