Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
12.04.2024

ИИ на службе зла: хакеры атакуют Германию с помощью ChatGPT

В марте 2024 года киберпреступники осуществили нападение на десятки организаций в Германии, используя скрипт на PowerShell, предположительно созданный с помощью ИИ. В ходе кампании распространяется инфостилер Rhadamanthys .

Специалисты Proofpoint приписали кампанию группировке TA547 (Scully Spider). Группа является брокером начального доступа (Initial Access Brokers, IAB ) и активна с 2017 года, занимаясь распространением различных видов вредоносного ПО для систем Windows и Android по модели MaaS.

В последнее время TA547 начала использовать Rhadamanthys – модульную систему для кражи информации, которая постоянно расширяет свои возможности по сбору данных (буфер обмена, данные из браузера, cookie-файлы). В ходе обнаруженной кампании TA547 маскировалась под известный немецкий бренд Metro, используя в качестве приманки счета-фактуры, которые рассылались по электронной почте.

Фишинговое письмо TA547, выдающее себя за Metro Cash & Carry

Rhadamanthys распространялся через ZIP-архивы, защищённые паролем, которые содержали вредоносный LNK-ярлык. Ярлык активировал выполнение PowerShell-скрипта, который, в свою очередь, запускал Rhadamanthys, хранящийся в кодировке Base64. Исследователи поясняют, что такой метод позволяет вредоносному коду выполняться в памяти, не затрагивая диск.

Примечательно то, что PowerShell-скрипт содержит уникальные характеристики, свойственные коду, сгенерированному ИИ ( ChatGPT , Gemini или Copilot). Комментарии в коде, написанные с идеальной грамматикой, а также специфическая структура и наименование переменных, указывают на возможное использование генеративного ИИ для создания или модификации скрипта.

В коде обнаружены комментарии для каждого компонента, что редко встречается в коде, созданном человеком

В Proofpoint подчеркнули, что сгенерированный ИИ код отличается высококачественными комментариями, что нехарактерно для «человеческого» кода. Эксперименты показали, что результаты, полученные с помощью систем типа ChatGPT, схожи с анализируемым скриптом, что дополнительно подтверждает теорию об использовании ИИ.