2024. 10. 07. - 10:20
Durva: kiberbűnözőknek is jól jön a generatív mesterséges intelligencia
A kiberbűnözők is alkalmazhatnak generatív mesterséges intelligenciát rosszindulatú programkódok írásához.
A generatív mesterséges intelligencia (GNMI) sajnos a kiberbűnözők kezében is hatékony lehet. Az MI-modell csökkenti a szkriptírások, a fertőzési láncok fejlesztésének és a káros támadások indításának akadályát.
A HP Imagine új kutatása rámutatott arra, hogy a kiberbűnözők generatív mesterséges intelligencia segítségével írnak rosszindulatú kódokat, így gyorsabban és könnyebben megfertőzhetik a végpontokat.
A HP fenyegetéssel foglalkozó kutatócsoportja szerint a számítógépes bűnözők már alkalmaznak GNMI-t, hogy meggyőző adathalász csalókat hozzanak létre - ugyanakkor korlátozott számú bizonyíték érkezett arra vonatkozóan, hogy a fenyegetőzők használták az eszközt kódírásra.
A kutatók azonban a vállalat negyedéves Threat Insights Report kutatása során azonosítottak egy kampányt, amely a VBScriptet és JavaScriptet használó franciául beszélőket célozta meg és amelyről azt feltételezik: generatív mesterséges intelligencia segítségével írták. Olvasd el: Nem szabad félvállról venni a kiberbiztonságot
Baj lehet belőle: kiberbűnözőknek is jól jön a generatív mesterséges intelligencia
A rosszindulatú program szerkezete, az egyes kódsorokat magyarázó megjegyzések, valamint az anyanyelvi függvénynevek és változók használata - amelyeket egy közelmúltbeli támadási kampányban találtak -, mind arra utalnak, hogy a fenyegetés szereplője generatív mesterséges intelligencia-modellt használt a káros szoftver létrehozásához.
A támadás a szabadon elérhető AsyncRAT kártevővel próbálja megfertőzni a felhasználókat, egy könnyen elérhető információlopóval, amely képes rögzíteni az áldozat képernyőit és billentyűleütéseit.
„Elterjedtek a találgatások arról, hogy a támadók mesterséges intelligenciát használnak, ám kevés bizonyíték áll rendelkezésre, ezért ez a megállapítás jelentős" - mondta Patrick Schläpfer, a HP biztonsági laboratóriumának vezető fenyegetéskutatója.
„A támadók általában szeretik elrejteni szándékaikat, hogy elkerüljék módszereik felfedését, ezért ez a viselkedés azt jelzi, hogy MI-asszisztenst használtak a kód megírásához” – tette hozzá.
Az ilyen képességek tovább csökkentik a belépési korlátot a fenyegetés szereplői előtt, lehetővé téve a kódolási készségekkel nem rendelkező kezdők számára, hogy szkripteket írjanak, fertőzési láncokat fejlesszenek ki és károsabb támadásokat indítsanak - mondta Schläpfer.
A kutatók megvizsgálták a HP Wolf Security vállalati végpontbiztonsági alkalmazást futtató végpontok millióinak adatait.
Kiderült, hogy a ChromeLoader-kampányok – ezek rosszindulatú hirdetéseket használnak, hogy az áldozatokat jól megtervezett webhelyekre irányítsák -, hamis eszközöket, például PDF-konvertálókat kínálnak, amelyek egyre nagyobbak és kifinomultabbak.
Ezek az MSI-fájlokként telepített és kézbesített hamis alkalmazások rosszindulatú kódok futását okozzák a végpontokon. A rosszindulatú program egy böngészőbővítményt tölt be, amely lehetővé teszi a támadók számára, hogy átvegyék az áldozat böngészési munkamenetét és átirányítsák a keresést a támadó által irányított webhelyekre.
A kutatók azt is megállapították, hogy egyes kiberbűnözők a HTML-fájlokról a vektorképekre, például a Scalable Vector Graphicsra (SVG) térnek át rosszindulatú programok csempészése érdekében.
A grafikai tervezés során széles körben használt vektorképek általában az XML-alapú SVG formátumot használják.
Mivel az SVG-k automatikusan megnyílnak a böngészőkben, minden beágyazott JavaScript kód lefut a kép megtekintése közben. Miközben az áldozatok azt hiszik, hogy egy képet néznek meg, egy összetett fájlformátummal lépnek kapcsolatba, amely többféle rosszindulatú, információrabló program telepítéséhez vezet – mondták el a kutatók.
B.A.
