Специалисты кибербезопасности создали с помощью ИИ полиморфный вредонос BlackMamba

Специалисты кибербезопасности создали с помощью ИИ полиморфный вредонос BlackMamba

Скайнет уже близко?

image

Внедрение ChatGPT и прочих больших языковых моделей ознаменовало собой своеобразную революцию. Синтез кода стал простым, понятным, быстрым и бесплатным для всех. Этот мощный и универсальный инструмент можно использовать в том числе для создания вредоносных программ, которые в будущем могут вылиться в новый и крайне опасный вид полиморфных киберугроз.

Традиционные решения безопасности, такие как EDR, используют многоуровневые системы анализа данных для борьбы с некоторыми из самых сложных современных угроз. Разработчики большинства автоматизированных инструментов безопасности утверждают, что их детище предотвращает новые или нестандартные модели поведения чуть ли не каждый день. Но на практике это происходит очень редко.

Используя новые методы создания вредоносного ПО, такие как нейросетевые алгоритмы, злоумышленники могут комбинировать ряд легко обнаруживаемых действий в необычную «сборную солянку» и эффективно уклоняться от обнаружения. Потому что антивирусные модели просто не смогут распознать такой софт как вредоносный.

Проблема усугубится, когда искусственный интеллект сможет самостоятельно «стать у руля» и полностью руководить кибератаками. Поскольку выбранные им методы могут быть весьма нетипичными по сравнению с теми, которые использует человек. Кроме того, ошеломляющая скорость, с которой эти атаки могут быть выполнены, делают угрозу многократно опаснее.

Чтобы продемонстрировать, на что способно вредоносное ПО на основе ИИ, специалисты из компании Hyas создали простой PoC-эксплойт, использующий большую языковую модель для синтеза функций полиморфного кейлоггера и динамического изменения кода прямо во время его выполнения. И всё это без какой-либо C2-инфраструктуры для доставки или проверки функциональности. Специалисты дали своему вредоносу название «BlackMamba» в честь смертельно опасной змеи.

Исследователи Hyas смогли объединить две, казалось бы, несовместимые концепции. Первая заключалась в устранении канала управления и контроля (C2-сервера), чтобы автоматизировать действия вредоносного ПО. А вторая концепция подразумевала использование методов генерации кода при помощи искусственного интеллекта, чтобы вредоносная программа сама видоизменялась на лету, пополняя свой «боевой арсенал», и эффективнее уклонялась от обнаружения.

BlackMamba использует безопасный исполняемый файл, который во время выполнения обращается к доверенному домену OpenAI. Затем вредонос выполняет динамически сгенерированный код в контексте безобидной программы, используя функцию exec() Python. При этом вся вредоносная полиморфная часть программы остаётся полностью в памяти, что так же не способствует обнаружению антивирусными решениями.

Каждый раз, когда BlackMamba запускается, она повторно синтезирует все свои возможности кейлогинга, делая основной вредоносный компонент по-настоящему полиморфным. Вредонос был протестирован одним из ведущих в отрасли EDR-решением (неназванным, к сожалению) и множество раз остался абсолютно необнаруженным.

Используя встроенную функцию кейлоггинга, BlackMamba может собирать конфиденциальную информацию, такую ​​как имена пользователей, пароли, номера кредитных карт и другие личные или конфиденциальные данные, которые пользователь вводит на своём устройстве. После захвата этих данных вредоносное ПО использует веб-перехватчик Microsoft Teams для отправки собранных данных на вредоносный канал, где данные можно проанализировать и затем продать в даркнете. Так как Microsoft Teams так же является доверенным доменом, антивирусные решения не реагировали на выгрузку данных через этот канал.

Для упаковки и доставки вредоноса на целевой компьютер потенциальные злоумышленники могут воспользоваться популярным инструментом Auto-py-to-exe. Это пакет Python с открытым исходным кодом, который позволяет разработчикам преобразовывать свои Python-скрипты в автономные исполняемые файлы, которые можно запускать в операционных системах Windows, macOS и Linux. Хотя этот пакет предназначен для законного использования, он также может использоваться авторами вредоносных программ для упаковки своих «творений» на основе Python в исполняемые файлы, которые можно распространять и запускать в целевой системе без необходимости установки дополнительного ПО.

После создания исполняемого файла хакер может распространить его среди потенциальных целей по ссылкам в электронной почте, схемам социальной инженерии и другими типичными способами. Когда жертва выполнит исполняемый файл, вредоносное ПО скрытно запустится в его системе и сможет выполнять различные вредоносные действия, такие как кража конфиденциальной информации, изменение системных настроек или загрузка дополнительных вредоносных программ.

Угрозы, исходящие от этого нового вида вредоносных программ, вполне реальны. Благодаря устранению связи с C2-сервером и генерации нового уникального кода прямо во время выполнения вредоносной программы, такие вредоносы, как BlackMamba, практически не обнаруживаются современными антивирусными решениями.

В эпоху стремительного развития искусственного интеллекта и постоянным пополнением сфер его применения, крайне важно сохранять бдительность и ещё тщательнее относиться к собственной информационной безопасности. Если киберпреступники действительно начнут массово внедрять ИИ-технологии в свои вредоносные продукты, кто знает, к чему вообще это может привести. Сюжет «Терминатора» уже и не кажется таким нереальным и футуристичным, когда регулярно натыкаешься на подобные новости.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!