تحقیقات جدید HP Imagine نشان میدهد که مهاجمان سایبری از هوش مصنوعی مولد برای کمک به نوشتن کدهای مخرب استفاده میکنند و باعث میشود مهاجمان سریعتر و راحتتر نقاط انتهایی را آلوده کنند.
مجرمان سایبری در حال حاضر استفاده می کنند هوش مصنوعی مولد به گفته تیم تحقیقاتی HP HP، برای ایجاد فریب های فیشینگ متقاعد کننده، اما شواهد محدودی مبنی بر استفاده عوامل تهدید از این ابزار برای نوشتن کد وجود داشت.
با این حال، در طول تحقیق برای گزارش سه ماهه Threat Insights این شرکت، محققان کمپینی را شناسایی کردند که فرانسویزبان را با استفاده از VBScript و JavaScript هدف قرار میداد که گمان میرود با کمک هوش مصنوعی مولد نوشته شده باشد.
ساختار بدافزار، کامنتهایی که هر خط کد را توضیح میدهند و استفاده از نامهای تابع زبان مادری و متغیرهای یافت شده در کمپین حمله اخیر، همگی نشان میدهند که عامل تهدید از یک مدل هوش مصنوعی مولد برای ایجاد بدافزار استفاده کرده است.
این حمله سعی میکند کاربران را با بدافزار AsyncRAT که بهطور رایگان در دسترس است، آلوده کند، یک infostealer با دسترسی آسان که میتواند صفحهنمایش قربانی و ضربه زدن به کلید را ضبط کند.
پاتریک شلپفر، محقق اصلی تهدیدات در آزمایشگاه امنیتی اچ پی، گفت: گمانه زنی در مورد استفاده از هوش مصنوعی توسط مهاجمان زیاد است، اما شواهد کمیاب است، بنابراین این یافته قابل توجه است.
معمولاً، مهاجمان برای جلوگیری از افشای روشهایشان، دوست دارند مقاصد خود را پنهان کنند، بنابراین این رفتار نشان میدهد که از دستیار هوش مصنوعی برای کمک به نوشتن کدشان استفاده شده است.»
Schläpfer گفت: چنین قابلیت هایی مانع ورود بازیگران تهدید را بیشتر کاهش می دهد و به افراد تازه کار بدون مهارت کدنویسی اجازه می دهد تا اسکریپت بنویسند، زنجیره های عفونت را توسعه دهند و حملات مخرب بیشتری را انجام دهند.
محققان دادههای میلیونها نقطه پایانی را که HP Wolf Security را اجرا میکنند، یک برنامه امنیتی نقطه پایانی سازمانی بررسی کردند.
آنها دریافتند که کمپینهای ChromeLoader که از تبلیغات نادرست برای هدایت قربانیان به وبسایتهایی با طراحی خوب که ابزارهای جعلی مانند مبدلهای PDF را ارائه میدهند، استفاده میکنند، بزرگتر و صیقلتر میشوند.
این برنامههای جعلی که بهعنوان فایلهای MSI نصب و تحویل میشوند باعث میشوند کدهای مخرب در نقاط پایانی اجرا شوند. این بدافزار یک برنامه افزودنی مرورگر را بارگیری می کند که به مهاجمان امکان می دهد جلسه مرور قربانی را کنترل کنند و جستجوها را به سایت های تحت کنترل مهاجم هدایت کنند.
همچنین مشخص شد که برخی از مجرمان سایبری از فایلهای HTML به تصاویر برداری مانند Scalable Vector Graphics (SVG) برای قاچاق بدافزار تغییر میدهند.
تصاویر برداری که به طور گسترده در طراحی گرافیک استفاده می شود، معمولاً از فرمت SVG مبتنی بر XML استفاده می کنند.
از آنجایی که SVG ها به طور خودکار در مرورگرها باز می شوند، هر کد جاوا اسکریپت جاسازی شده با مشاهده تصویر اجرا می شود. در حالی که قربانیان فکر می کنند در حال مشاهده یک تصویر هستند، با یک فرمت فایل پیچیده تعامل دارند که منجر به نصب چندین نوع بدافزار infostealer می شود.
این گزارش بردارهای تهدید برتر را بهعنوان پیوستهای ایمیل (61 درصد)، دانلود از مرورگرها (18 درصد) و سایر ناقلهای عفونت، مانند حافظههای قابل جابجایی مانند درایوهای USB و اشتراکگذاری فایل (21 درصد) شناسایی کرد.