Была замечена группа хакеров, возможно, использующая программы с искусственным интеллектом, такие как ChatGPT, Google Gemini или Microsoft Copilot, чтобы помочь усовершенствовать атаку с вредоносным ПО.
Proofpoint опубликовала отчет о группе, получившей название “TA547”, которая отправляла фишинговые электронные письма предприятиям в Германии. Электронные письма предназначены для доставки вредоносного ПО Rhadamanthys для Windows, которое существует уже несколько лет. Но самая интересная часть атаки заключается в том, что в ней используется скрипт PowerShell, который содержит признаки того, что он был создан с использованием большой языковой модели на основе искусственного интеллекта (LLM).
Хакеры часто используют PowerShell, поскольку это мощный инструмент в Windows, которым можно злоупотреблять для автоматизации и выполнения задач. В этом случае фишинговое электронное письмо содержит защищенный паролем ZIP-файл, при открытии которого запускается созданный хакером скрипт PowerShell для расшифровки и установки вредоносного ПО Rhadamanthys на компьютер жертвы.
В ходе расследования атак исследователи Proofpoint изучили сценарий PowerShell и обнаружили “интересные характеристики, которые обычно не наблюдаются в коде, используемом хакерами", - написала компания в сообщении в блоге.
Что бросалось в глаза, так это наличие знака фунта #, который может использоваться в PowerShell для создания однострочных комментариев, объясняющих назначение строки компьютерного кода.
“Сценарий PowerShell включал знак фунта, за которым следовали грамматически правильные и сверхспецифичные комментарии над каждым компонентом сценария. Это типичный результат кодирования контента, сгенерированного LLM, и предполагает, что TA547 использовал какой-то инструмент с поддержкой LLM для написания (или перезаписи) PowerShell или скопировал скрипт из другого источника, который его использовал ”, - говорит Proofpoint.
Тем не менее, Proofpoint не может с уверенностью сказать, что TA547 создал сценарий PowerShell с помощью чат-бота с искусственным интеллектом. Но этот случай иллюстрирует, как киберпреступники могут использовать свободно доступные LLM для улучшения своих атак.
Изображения предоставлены Proofpoint. Информация взята из статьи Майкла Кана.