26/09/24
В июне специалисты из HP обнаружили фишинговую кампанию, направленную на пользователей во Франции, в которой использовался ИИ для создания вредоносного кода, пищут Securitylab. Основной целью атаки было распространение AsyncRAT. О своих находках исследователи рассказали в отчете об угрозах за второй квартал 2024 года.
В атаке применялся метод HTML Smuggling — техника, при которой через HTML-документы передавались архивы, защищённые паролем. Злоумышленники внедряли в архивы VBScript и JavaScript, которые выполняли вредоносные действия на заражённой системе. Эксперты взломали пароль и обнаружили код, структурированный так, как это обычно делает генеративный ИИ. Весь код был снабжён комментариями, подробно объясняющими его работу — что является редким случаем для вредоносных программ, написанных вручную.
Специалисты HP подчеркивают, что такие комментарии в коде и использование естественного языка для названий функций и переменных являются индикаторами того, что код мог быть сгенерирован ИИ. В результате анализа выяснилось, что VBScript создавал задачи в планировщике Windows и вносил изменения в реестр системы для сохранения своего присутствия.
На следующем этапе атаки выполнялась загрузка и запуск AsyncRAT — вредоносного ПО с открытым исходным кодом, которое предоставляет хакеру удалённый доступ к заражённой системе, позволяя перехватывать нажатия клавиш и выполнять дополнительные вредоносные команды. В отчёте HP также отмечается, что такой вид архивов стал наиболее популярным способом доставки вредоносного ПО в первой половине 2024 года.
Другой случай стал одним из наиболее заметных примеров использования вредоносного ПО в веб-браузерах стал ChromeLoader. Программа захватывает сессию браузера жертвы и перенаправляет запросы на сайты, контролируемые злоумышленниками. Во втором квартале 2024 года кампании по распространению ChromeLoader стали более масштабными и тщательно спланированными. Вредоносное ПО распространялось через рекламу, ведущую на сайты с PDF-конвертерами. Рабочие приложения скрывали вредоносный код в MSI-файлах, а использование действительных сертификатов цифровой подписи помогало обходить защитные механизмы Windows, что увеличивало шансы на успешную атаку.
В ходе исследований атак во втором квартале специалисты также выявили кампанию, в которой для распространения вредоносного ПО использовались SVG-файлы. Такой формат широко применяется в графическом дизайне и поддерживает множество функций, включая скрипты. Киберпреступники воспользовались возможностью встраивания вредоносных скриптов JavaScript в изображения, что привело к попыткам заразить устройства жертв с помощью различных инфостилеров.
