" В настоящее время разработчики вредоносных программ используют генеративный искусственный интеллект для ускорения процесса написания кода и увеличения количества атак. По сути, ИИ позволяет любому технически подкованному пользователю разрабатывать вредоносное ПО.
В сентябрьском отчете отдела безопасности HP Wolf компания HP подробно рассказала о том, как они обнаружили разновидность трояна для асинхронного удаленного доступа (AsyncRAT) - тип программного обеспечения, которое может использоваться для удаленного управления компьютером жертвы - при проверке подозрительного электронного письма, отправленного клиенту.
Однако, хотя сам AsyncRAT был разработан людьми, эта новая версия содержала метод внедрения, который, по-видимому, был разработан с использованием генеративного ИИ.
В прошлом исследователи находили «фишинговые приманки» или мошеннические веб-сайты, созданные с помощью генеративного ИИ, используемые для заманивания жертв и их обмана. Однако, согласно отчету, «до этого обнаружения было мало свидетельств того, что злоумышленники использовали эту технологию для написания вредоносного кода».
У программы было несколько характеристик, которые убедительно свидетельствовали о том, что она была разработана с помощью искусственного интеллекта. Во-первых, почти каждая функция в ней сопровождалась комментарием, объясняющим, для чего она предназначена.
Киберпреступники редко уделяют такое внимание предоставлению примечаний для читателей, поскольку, как правило, они не хотят, чтобы общественность понимала, как работает их код. Исследователи также полагали, что структура кода и «выбор имен функций и переменных» убедительно свидетельствуют о том, что код был разработан с использованием искусственного интеллекта.
Рисунок 1. Фрагмент кода, содержащий утверждения, предположительно сгенерированные искусственным интеллектом. Источник: HP Wolf Security.
Команда впервые обнаружила электронное письмо, когда оно было отправлено подписчику программного обеспечения HP для защиты от угроз Sure Click. Оно представляло собой счет-фактуру, написанную на французском языке, что указывало на то, что это, скорее всего, вредоносный файл, и он предназначен для франкоязычных пользователей.
Однако изначально они не смогли определить, что делает файл, поскольку соответствующий код был сохранен внутри скрипта, который можно было расшифровать только с помощью пароля. Несмотря на это препятствие, исследователям в конечном итоге удалось взломать пароль и расшифровать файл, что позволило выявить скрытую в нем вредоносную программу.
Внутри файла находился скрипт Visual Basic (VBScript), который записывал переменные в реестр ПК пользователя, устанавливал файл JavaScript в один из пользовательских каталогов и затем запускал файл JavaScript. Этот второй файл загружал переменную из реестра и вводил ее в процесс Powershell. Затем были запущены еще два скрипта, в результате чего на устройстве была установлена вредоносная программа AsyncRAT.
Рисунок 2. Цепочка заражения, ведущая к AsynRAT. Источник: HP Wolf Security.
По словам разработчика программного обеспечения для кибербезопасности Blackberry, AsyncRAT - это программное обеспечение, выпущенное в 2019 году на GitHub. Его разработчики утверждают, что это «законный инструмент удаленного администрирования с открытым исходным кодом». Однако он «используется почти исключительно киберпреступниками».
Программное обеспечение позволяет своим пользователям «удаленно управлять зараженными хостами», предоставляя им пользовательский интерфейс, который может выполнять задачи на компьютере жертвы. Поскольку AsyncRAT позволяет злоумышленнику получить контроль над компьютером жертвы, он может быть использован для кражи закрытого ключа пользователя криптовалюты или исходных слов, что потенциально может привести к потере средств.
Хотя AsyncRAT сам по себе не является чем-то новым, в этой конкретной вариации используется новый метод внедрения, и исследователи обнаружили в этом методе внедрения явные признаки кода, сгенерированного искусственным интеллектом, что указывает на то, что эта новая технология как никогда облегчает разработчикам вредоносных программ проведение атак.
«Это мероприятие показывает, как GenAI (генеративный искусственный интеллект) ускоряет атаки и снижает планку заражения конечных точек киберпреступниками», - говорится в отчете HP.
Исследователи в области кибербезопасности по-прежнему пытаются понять, как развитие искусственного интеллекта влияет на безопасность. В декабре некоторые пользователи ChatGPT обнаружили, что его можно использовать для обнаружения уязвимостей в смарт-контрактах.
Как отмечали в то время многие в криптосообществе, это могло бы сделать программу искусственного интеллекта полезным инструментом для хакеров в белых шляпах, но это также могло бы позволить черным шляпам находить уязвимости, которые они могли бы использовать.
В мае 2023 года отдел безопасности Meta* опубликовал отчет, который предупреждает людей о том, что некоторые операторы вредоносных программ создают поддельные версии популярных программ с генеративным ИИ и используют их в качестве приманки для привлечения жертв.
*Американская корпорация Meta Platforms и принадлежащие ей социальные сети Facebook и Instagram признаны экстремистскими и запрещены в РФ.
