Odkryto złośliwe oprogramowanie generowane przez sztuczną inteligencję, które może zmienić cyberbezpieczeństwo, jakie znamy

W rozwijającym się świecie cyberbezpieczeństwa od jakiegoś czasu wiemy, że sztuczna inteligencja może być wykorzystywana do tworzenia złośliwego oprogramowania. Jednak ostatnie wydarzenia wskazują, że przyszłość złośliwego oprogramowania generowanego przez sztuczną inteligencję może być bliżej, niż myślimy. HP niedawno przechwyciło kampanię e-mailową, która dostarczyła standardowy ładunek złośliwego oprogramowania za pośrednictwem droppera generowanego przez sztuczną inteligencję, co oznacza znaczącą zmianę w taktyce cyberprzestępczości.

Odkryto nowy rodzaj zagrożenia w rozwoju złośliwego oprogramowania AI

Odkrycie miało miejsce w czerwcu 2024 r., kiedy zespół ds. bezpieczeństwa HP natknął się na wiadomość e-mail phishingową zawierającą typową przynętę w postaci faktury. Załącznikiem był zaszyfrowany plik HTML — technika znana jako przemyt HTML, zaprojektowana w celu uniknięcia wykrycia. Chociaż przemyt HTML nie jest niczym nowym, ten przypadek miał ciekawy zwrot akcji. Zazwyczaj cyberprzestępcy wysyłali wstępnie zaszyfrowany plik, ale tym razem atakujący umieścili klucz deszyfrujący AES bezpośrednio w kodzie JavaScript załącznika. Ta osobliwość skłoniła do dalszych badań.

Po odszyfrowaniu załącznika badacze HP odkryli, że wygląda on na normalną stronę internetową, ale ukryty w nim był VBScript i niesławny AsyncRAT infostealer. VBScript działał jak dropper, wdrażając ładunek infostealera, modyfikując rejestry systemowe i uruchamiając JavaScript jako zaplanowane zadanie. Następnie wykonano skrypt PowerShell, kończąc wdrażanie AsyncRAT.

Choć większość tego procesu jest znana, jeden kluczowy szczegół wyróżniał się: VBScript był niezwykle dobrze ustrukturyzowany i zawierał komentarze — rzadka praktyka w tworzeniu złośliwego oprogramowania. Co jeszcze bardziej zaskakujące, skrypt został napisany po francusku. Te czynniki skłoniły badaczy HP do przekonania, że dropper nie został stworzony przez człowieka, ale wygenerowany przez sztuczną inteligencję.

Rola sztucznej inteligencji w obniżaniu barier dla cyberprzestępców

Aby przetestować swoją teorię, zespół HP użył własnych narzędzi AI do replikacji VBScript. Powstały skrypt był uderzająco podobny do tego użytego w ataku. Chociaż nie jest to ostateczny dowód, badacze są przekonani, że w tworzeniu złośliwego oprogramowania brała udział sztuczna inteligencja. Ale tajemnica się pogłębia: dlaczego złośliwe oprogramowanie nie zostało zaciemnione? Dlaczego komentarze pozostawiono w kodzie?

Jednym z możliwych wyjaśnień jest to, że atakujący był nowicjuszem w świecie cyberprzestępczości. Sztuczne oprogramowanie generowane przez AI może obniżać bariery wejścia dla potencjalnych hakerów, udostępniając narzędzia, takie jak generowanie VBScript, osobom o minimalnych umiejętnościach technicznych. W tym przypadku AsyncRAT, główny ładunek, jest dostępny bezpłatnie, a techniki, takie jak przemyt HTML, nie wymagają rozległej wiedzy z zakresu kodowania.

Alex Holland, główny badacz zagrożeń w HP, zauważył, że ten atak wymagał bardzo niewielu zasobów. Nie było żadnej złożonej infrastruktury poza pojedynczym serwerem poleceń i kontroli (C&C) do zarządzania skradzionymi danymi. Samo złośliwe oprogramowanie było podstawowe i brakowało mu zwykłego zaciemniania widocznego w bardziej wyrafinowanych atakach. Krótko mówiąc, mogło to być dzieło niedoświadczonego hakera wykorzystującego sztuczną inteligencję do wykonania ciężkiej pracy.

Przyszłość złośliwego oprogramowania generowanego przez sztuczną inteligencję

To odkrycie rodzi kolejną niepokojącą możliwość. Jeśli niedoświadczony atakujący może zostawić wskazówki wskazujące na skrypty generowane przez AI, co mogliby osiągnąć bardziej doświadczeni przeciwnicy za pomocą podobnych narzędzi? Doświadczeni cyberprzestępcy prawdopodobnie usunęliby wszelkie ślady zaangażowania AI, co znacznie utrudniłoby wykrycie, jeśli nie uniemożliwiło.

„Od dawna przewidywaliśmy, że AI może być używana do generowania złośliwego oprogramowania” — powiedział Holland. „Ale to jeden z pierwszych przykładów w świecie rzeczywistym, jakie widzieliśmy. To kolejny krok w stronę przyszłości, w której złośliwe oprogramowanie generowane przez AI stanie się bardziej zaawansowane i powszechne”.

W miarę jak technologia AI nadal szybko się rozwija, harmonogram całkowicie autonomicznego złośliwego oprogramowania generowanego przez AI się kurczy. Chociaż trudno przewidzieć dokładny harmonogram, eksperci tacy jak Holland uważają, że może to nastąpić w ciągu najbliższych kilku lat. Zagrożenie AI nie pojawia się na horyzoncie — jest już tutaj.

Przygotowanie się na kolejną falę zagrożeń cybernetycznych

Ponieważ granice między złośliwym oprogramowaniem generowanym przez ludzi i AI zacierają się, krajobraz cyberbezpieczeństwa stanie się jeszcze trudniejszy. Chociaż incydent ten stanowi ostrzeżenie, jest również spojrzeniem w przyszłość, w której AI będzie odgrywać większą rolę w cyberatakach. Specjaliści ds. bezpieczeństwa muszą zachować czujność, nieustannie dostosowując swoje środki obrony, aby przeciwdziałać tym pojawiającym się zagrożeniom.

Ponieważ złośliwe oprogramowanie generowane przez AI po raz pierwszy pojawiło się na wolności, nie jest wykluczone, że nadejdzie czas, gdy bardziej wyrafinowane ataki oparte na AI staną się normą. Jak złowieszczo sugeruje Holland, być może już mówimy: „Oni już tu są! Ty jesteś następny! Ty jesteś następny!”