Как ChatGPT помог вредоносу обойти защиту.
В марте 2024 года киберпреступники осуществили нападение на десятки организаций в Германии, используя скрипт на PowerShell, предположительно созданный с помощью ИИ. В ходе кампании распространяется инфостилер Rhadamanthys.
Специалисты Proofpoint приписали кампанию группировке TA547 (Scully Spider). Группа является брокером начального доступа (Initial Access Brokers, IAB) и активна с 2017 года, занимаясь распространением различных видов вредоносного ПО для систем Windows и Android по модели MaaS.
В последнее время TA547 начала использовать Rhadamanthys – модульную систему для кражи информации, которая постоянно расширяет свои возможности по сбору данных (буфер обмена, данные из браузера, cookie-файлы). В ходе обнаруженной кампании TA547 маскировалась под известный немецкий бренд Metro, используя в качестве приманки счета-фактуры, которые рассылались по электронной почте.
Фишинговое письмо TA547, выдающее себя за Metro Cash & Carry
Rhadamanthys распространялся через ZIP-архивы, защищённые паролем, которые содержали вредоносный LNK-ярлык. Ярлык активировал выполнение PowerShell-скрипта, который, в свою очередь, запускал Rhadamanthys, хранящийся в кодировке Base64. Исследователи поясняют, что такой метод позволяет вредоносному коду выполняться в памяти, не затрагивая диск.
Примечательно то, что PowerShell-скрипт содержит уникальные характеристики, свойственные коду, сгенерированному ИИ (ChatGPT, Gemini или Copilot). Комментарии в коде, написанные с идеальной грамматикой, а также специфическая структура и наименование переменных, указывают на возможное использование генеративного ИИ для создания или модификации скрипта.
В коде обнаружены комментарии для каждого компонента, что редко встречается в коде, созданном человеком
В Proofpoint подчеркнули, что сгенерированный ИИ код отличается высококачественными комментариями, что нехарактерно для «человеческого» кода. Эксперименты показали, что результаты, полученные с помощью систем типа ChatGPT, схожи с анализируемым скриптом, что дополнительно подтверждает теорию об использовании ИИ.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале