Ένας παράγοντας απειλής χρησιμοποιεί ένα κακόβουλο σενάριο PowerShell που πιθανότατα δημιουργήθηκε με τη βοήθεια ενός συστήματος AI όπως το ChatGPT του OpenAI, το Gemini της Google ή το CoPilot της Microsoft, για να ωθήσει malware.
Δείτε επίσης: Microsoft: Ενημέρωση του Windows 10 WinRE με διορθώσεις BitLocker
Ο κακόβουλος χρήστης χρησιμοποίησε το σενάριο σε μια εκστρατεία ηλεκτρονικού ταχυδρομείου τον Μάρτιο, που είχε στόχο δεκάδες οργανισμούς στη Γερμανία για να διαδόσει το Rhadamanthys malware .
Το PowerShell που βασίζεται σε AI αναπτύσσει infostealer
Ερευνητές της εταιρείας κυβερνοασφάλειας Proofpoint απέδωσαν την επίθεση σε έναν κακόβουλο παράγοντα που παρακολουθείται ως TA547, που πιστεύεται ότι είναι ένας μεσίτης αρχικής πρόσβασης (IAB).
Ο TA547, γνωστός και ως Scully Spider, είναι ενεργός τουλάχιστον από το 2017 παρέχοντας μια ποικιλία κακόβουλου λογισμικού για συστήματα Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker, Atmos) και Android (Mazar Bot, Red Alert).
Πρόσφατα, ο κακόβουλος παράγοντας, άρχισε να χρησιμοποιεί το modular stealer Rhadamanthys malware, που προωθεί μέσω ενός PowerShell AI, που επεκτείνει συνεχώς τις δυνατότητες συλλογής δεδομένων του (πρόχειρο, πρόγραμμα περιήγησης, cookies).
Η Proofpoint παρακολουθεί ο TA547 από το 2017 και είπε ότι αυτή η καμπάνια ήταν η πρώτη όπου παρατηρήθηκε ο παράγοντας απειλής χρησιμοποιώντας Rhadamanthys malware.
Δείτε ακόμα: Η εκστρατεία malware DEEP#GOSU στοχεύει χρήστες Windows
Το info stealer έχει διανεμηθεί από τον Σεπτέμβριο του 2022 σε πολλές ομάδες εγκλήματος στον κυβερνοχώρο υπό το μοντέλο malware-as-a-service (MaaS).
Σύμφωνα με ερευνητές της Proofpoint, o TA547 υποδύθηκε τη γερμανική επωνυμία Metro cash-and-carry σε μια πρόσφατη καμπάνια phishing χρησιμοποιώντας τιμολόγια ως δέλεαρ για «δεκάδες οργανισμούς σε διάφορες βιομηχανίες στη Γερμανία».
Τα μηνύματα περιελάμβαναν ένα αρχείο ZIP προστατευμένο με κωδικό πρόσβασης «MAR26», το οποίο περιείχε ένα κακόβουλο αρχείο συντόμευσης (.LNK). Η πρόσβαση στο αρχείο συντόμευσης ενεργοποίησε το AI PowerShell για να εκτελέσει απομακρυσμένα το malware.
Οι ερευνητές εξηγούν ότι αυτή η μέθοδος επέτρεψε την εκτέλεση του κακόβουλου κώδικα στη μνήμη χωρίς να αγγίξει το δίσκο. Οι ερευνητές σημειώνουν επίσης ότι αυτά τα χαρακτηριστικά είναι τυπικά για τον κώδικα που προέρχεται από παραγωγικές λύσεις AI όπως το ChatGPT, το Gemini ή το CoPilot.
Αν και δεν μπορούν να είναι απολύτως βέβαιοι ότι ο κώδικας PowerShell προήλθε από μια λύση μεγάλου γλωσσικού μοντέλου (LLM), οι ερευνητές λένε ότι το περιεχόμενο του σεναρίου υποδηλώνει τη δυνατότητα του TA547 να χρησιμοποιεί γενετική τεχνητή νοημοσύνη για τη σύνταξη ή την επανεγγραφή του σεναρίου PowerShell.
Δείτε επίσης: FBI: Περισσότερα στοιχεία για το AvosLocker ransomware και tips προστασίας
Ποιες είναι οι τεχνικές προστασίας από τα κακόβουλα λογισμικά;
Ένας από τους πιο αποτελεσματικούς τρόπους προστασίας από τα malware, όπως το κακόβουλο PowerShell που δημιουργήθηκε από AI, είναι η χρήση ενός αξιόπιστου λογισμικού ασφαλείας. Αυτό θα πρέπει να περιλαμβάνει ένα ισχυρό προστατευτικό τείχος και να είναι σε θέση να εντοπίζει και να απομακρύνει τα κακόβουλα λογισμικά. Η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών σας είναι άλλη μία σημαντική τεχνική προστασίας. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να βοηθήσουν στην προστασία του συστήματός σας από τα κακόβουλα λογισμικά. Η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης είναι επίησς κρίσιμη για την προστασία από τα κακόβουλα λογισμικά. Η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις απάτες phishing, οι οποίες είναι μια συνηθισμένη μέθοδος διανομής κακόβουλου λογισμικού.
Πηγή: bleepingcomputer
