Сначала вы нажимаете Ctrl+V, а потом платите выкуп. Как работает вирус, который написала нейросеть

Согласно отчету IBM, группировки вымогателей начали экспериментировать с искусственным интеллектом. Специалисты обнаружили необычную вредоносную программу Slopoly. Судя по анализу кода, сценарий создала языковая модель. Программа оказалась не слишком сложной, однако показала другую проблему. Создание вредоносных инструментов стало быстрее и проще.

Slopoly нашли в начале 2026 года во время расследования атаки с вымогательским программным обеспечением. За операцией стояла группа Hive0163. Участники Hive0163 давно занимаются вымогательством и кражей данных. Злоумышленники известны использованием Interlock ransomware, а также собственных инструментов: NodeSnake, InterlockRAT и загрузчика JunkFiction.

Slopoly представляла собой сценарий PowerShell. Программа работала как клиент системы управления заражёнными машинами. Код собирал базовые сведения о системе и каждые 30 секунд отправлял «маяк» на сервер злоумышленников. Каждые 50 секунд программа проверяла, не пришли ли новые команды. Полученные инструкции выполнялись через cmd.exe, после чего результаты отправлялись обратно на сервер.

Анализ кода показал характерные признаки генерации при помощи языковой модели. В сценарии оказалось много комментариев, подробная обработка ошибок и аккуратные названия переменных. Один из комментариев описывал программу как «Polymorphic C2 Persistence Client». При этом реальных механизмов полиморфизма код не содержит. Программа не умеет менять собственный код во время работы. Вероятно, генератор лишь создавал новые версии клиента со случайными параметрами и именами функций.

Несмотря на скромный технический уровень, Slopoly позволила Hive0163 удерживать доступ к заражённому серверу больше недели. Какие команды злоумышленники выполняли на машине, установить не удалось. Сам факт использования подобного инструмента показывает интерес преступных групп к генерации вредоносного кода при помощи искусственного интеллекта.

Атака началась с социальной инженерии. Злоумышленники применили метод ClickFix. Жертве показывали страницу с «проверкой», похожей на CAPTCHA. Страница незаметно помещала вредоносный сценарий в буфер обмена и предлагала нажать сочетания клавиш Win+R, затем Ctrl+V и Enter. В результате пользователь сам запускал вредоносную команду PowerShell.

Первым этапом заражения становилась программа NodeSnake, написанная на Node.js. NodeSnake выступает частью инфраструктуры управления заражёнными системами. Программа умеет скачивать и запускать другие файлы, выполнять команды оболочки и закрепляться в системе. Следом злоумышленники загружали более функциональный бэкдор InterlockRAT. Такой инструмент поддерживает обратную оболочку и туннель SOCKS5 для скрытого доступа к сети жертвы.

Через эти инструменты злоумышленники развернули Slopoly, а также утилиты AzCopy и Advanced IP Scanner, часто встречающиеся в атаках вымогателей. В финальной стадии запускалась программа-вымогатель Interlock. Шифровальщик перебирает все логические диски, пропускает системные каталоги и шифрует файлы с помощью AES и RSA через библиотеку OpenSSL. После шифрования файлы получают расширения вроде .!NT3RLOCK или .int3R1Ock, а в папках появляется записка FIRST_READ_ME.txt с требованиями выкупа.

По данным IBM, Hive0163 специализируется на действиях после проникновения в сеть. Участники группы используют собственные бэкдоры и инструменты для длительного присутствия в корпоративных системах и массовой кражи данных. Для начального доступа злоумышленники применяют ClickFix, вредоносную рекламу и иногда покупают доступ у посредников.

Технически Slopoly выглядит довольно простой программой. Однако появление подобных инструментов показывает, как искусственный интеллект меняет киберпреступность. Создание вредоносного кода требует гораздо меньше времени. В результате злоумышленники могут быстро генерировать новые версии программ и использовать их в атаках.

По оценке специалистов IBM, индустрия безопасности только начинает сталкиваться с новой реальностью. Сейчас речь идёт о простых сценариях, созданных при помощи языковых моделей. Следующий этап может включать вредоносные программы, где искусственный интеллект принимает решения прямо во время атаки или помогает создавать и тестировать инфраструктуру управления заражёнными системами.