Зафиксирован всплеск фишинговых кибератак с применением ИИ

Компания, специализирующаяся на кибербезопасности – Symantec, зафиксировала увеличение числа атак, в которых злоумышленники используют крупные языковые модели (LLM) для создания вредоносного кода.

В одной из «свежих» атак злоумышленники отправляли фишинговые письма с вложенными ZIP-архивами, содержащими вредоносные LNK-файлы. Эти файлы, будучи запущенными, активировали скрипты PowerShell, сгенерированные с помощью LLM, и это приводило к установке вредоносных программ.

В еще одном подходе злоумышленники использовали LLM для генерации HTML-кода, который выполнялся при открытии вредоносного вложения. Этот код загружал дополнительные полезные нагрузки. После открытия вложения пользователь видел простую веб-страницу, в то время как вредоносная программа уже была запущена в фоновом режиме. В хакерской кампании использовались вредоносные программы – Dunihi, ModiLoader и LokiBot.

Очевидно, что инструменты на базе LLM снижают порог входа для злоумышленников и повышают уровень их атак.

Руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников считает, что подобного рода вредоносное ПО, созданное при помощи ИИ, опасно тем, что его не всегда смогут детектировать антивирусы или засечь среди событий ИБ системы типа SIEM. «Средства обеспечения безопасности тоже используют ИИ, что позволяет выявлять атаки нулевого дня. Например, Ankey ASAP оснащен модулем поведенческой аналитики, что позволяет выявлять аномалии. Также важно, что благодаря системе скоринга, выявленные аномалии ранжируются на основе экспертного мнения. Продукт может выявлять деятельность современных вирусов шифровальщиков, которые маскируются под легитимное ПО и подстраиваются под поведение атакуемой системы», – говорит киберэксперт.