Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносные приложения под видом доставки: ИИ‑обфускация и C2

3
3 мин
Недавний анализ выявил волну распространения вредоносных приложений, маскирующихся под легитимные внутренние службы доставки и использующих продвинутые методы сокрытия. Со стороны кажется, что это простая камуфляжная операция, но эксперты отмечают: злоумышленники применяют *обфускацию на основе искусственного интеллекта*, что делает угрозу более адаптивной и трудной для обнаружения традиционными средствами безопасности. По результатам исследования, злоумышленники распространяют приложения, которые внешне имитируют официальные сервисы доставки. При этом вредоносный функционал скрыт с помощью нескольких механизмов, ключевые из которых перечислены ниже. Аналитики отмечают, что злоумышленники задействуют скомпрометированные легитимные веб-сайты в роли серверов управления (C2). Это повышает устойчивость кампании: трафик выглядит безобидным, легче проходит сквозь фильтры и вызывает меньше подозрений у систем мониторинга. «Используя надежные сайты, они могут более скрытно устанавливать связь
Оглавление

Недавний анализ выявил волну распространения вредоносных приложений, маскирующихся под легитимные внутренние службы доставки и использующих продвинутые методы сокрытия. Со стороны кажется, что это простая камуфляжная операция, но эксперты отмечают: злоумышленники применяют *обфускацию на основе искусственного интеллекта*, что делает угрозу более адаптивной и трудной для обнаружения традиционными средствами безопасности.

Что обнаружено

По результатам исследования, злоумышленники распространяют приложения, которые внешне имитируют официальные сервисы доставки. При этом вредоносный функционал скрыт с помощью нескольких механизмов, ключевые из которых перечислены ниже.

  • AI-обфускация кода: автоматическое изменение структуры и поведения исполняемого кода для обхода сигнатурного и эвристического детектирования;
  • динамическая модификация реализации: изменение реализации в реальном времени, чтобы препятствовать статическому анализу;
  • зашифрованные каналы связи: скрытие телеметрии и команд через защищённые протоколы, затрудняющие перехват и декодирование;
  • маскировка под легитимный трафик: использование шаблонов коммуникации, характерных для законных служб доставки, что снижает вероятность ручной проверки аналитиками.

Инфраструктура управления: использование скомпрометированных сайтов

Аналитики отмечают, что злоумышленники задействуют скомпрометированные легитимные веб-сайты в роли серверов управления (C2). Это повышает устойчивость кампании: трафик выглядит безобидным, легче проходит сквозь фильтры и вызывает меньше подозрений у систем мониторинга.

«Используя надежные сайты, они могут более скрытно устанавливать связь с заражёнными устройствами, тем самым повышая эффективность и долговечность вредоносного ПО».

Цели злоумышленников и последствия для пользователей

Основная цель атак — извлечение конфиденциальной информации пользователей, включая финансовые и личные данные. Успешная компрометация может привести к финансовым потерям, утечкам персональных данных и дальнейшим целенаправленным атакам.

Почему это опасно для систем безопасности

  • AI-обфускация делает сигнатурные и многие эвристические механизмы менее эффективными;
  • использование легитимных сайтов в роли C2 усложняет обнаружение и блокировку инфраструктуры;
  • динамические и зашифрованные каналы связи снижают возможности для постфактумного анализа и атрибуции;
  • маскировка под известные сервисы увеличивает вероятность того, что вредоносное ПО останется незамеченным длительное время.

Рекомендации для защиты

  • усилить мониторинг поведенческих индикаторов на конечных устройствах, а не полагаться исключительно на сигнатуры;
  • внедрять анализ сетевого трафика с учётом контекстных аномалий, а не только перечня доменов;
  • регулярно проверять целостность и репутацию партнерских и третьесторонних сайтов, чтобы обнаруживать их компрометацию;
  • использовать многослойную систему защиты: EDR, NGFW, DLP и аналитические платформы, способные адаптироваться под динамику угроз;
  • повышать осведомлённость пользователей: проверять подлинность приложений служб доставки и ограничивать установку программ из неофициальных источников.

Вывод

Тенденция использования искусственного интеллекта при разработке вредоносного ПО указывает на этап перехода к более сложным и адаптивным угрозам. Сообщество по кибербезопасности должно реагировать на этот вызов, адаптируя методы детектирования и защиты, усиливая мониторинг и обмен информацией о новых методах уклонения. Без этого риск масштабных компрометаций с серьёзными последствиями для частных лиц и организаций будет только расти.

Короткий итог: вредоносные приложения, маскирующиеся под службы доставки, используют AI-обфускацию и скомпрометированные сайты как C2, что требует пересмотра традиционных подходов к защите и усиления взаимодействия в индустрии информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносные приложения под видом доставки: ИИ‑обфускация и C2".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются