Исследователи HYAS недавно опубликовали доказательство концепции (PoC) вредоносного ПО, которое использует ИИ для генерации новых вредоносных программ на лету, чтобы обойти алгоритмы обнаружения.
Вредоносная программа, получившая название «BlackMamba», является последним примером эксплойтов, способных обойти даже самые сложные средства кибербезопасности. Исследователи Mandiant на этой неделе сообщили об обнаружении «подозрительной китайской кампании, которая включает в себя поддержание долговременной устойчивости путем запуска вредоносного ПО на непропатченном устройстве SonicWall Secure Mobile Access (SMA). Вредоносная программа обладает функциональностью для кражи учетных данных пользователя, предоставления доступа к оболочке и сохранения работоспособности после обновления прошивки».
В декабре исследователь SafeBreach Labs Ор Яир обнаружил уязвимости нулевого дня в нескольких EDR и антивирусных инструментах, а в октябре было установлено, что группа BlackByte ransomware активно использует известную уязвимость в драйверах для обхода защиты EDR.
Использование OpenAI
Показ BlackMamba, вероятно, усилит опасения, что инструменты искусственного интеллекта могут использоваться киберпреступниками для создания новых эксплойтов.
BlackMamba использует доброкачественный исполняемый файл, который обращается к API с высокой репутацией (OpenAI) во время выполнения, чтобы вернуть синтезированный вредоносный код, необходимый для кражи нажатий клавиш зараженного пользователя. Затем он выполняет динамически сгенерированный код в контексте доброкачественной программы с помощью функции Python exec(), при этом вредоносная полиморфная часть остается полностью в памяти. При каждом запуске BlackMamba заново синтезирует свои возможности по записи ключей, что делает вредоносный компонент этой вредоносной программы действительно полиморфным»
- написал главный инженер по безопасности HYAS Джефф Симс в статье блога
Собирает конфиденциальную информацию, включая имена пользователей, пароли и номера кредитных карт, а затем использует Microsoft Teams, отправляя их на контролируемый злоумышленником канал Teams.
Исследователи говорят, что они протестировали вредоносную программу против ведущего отраслевого решения EDR, которое они просили не называть, и оно многократно не смогло обнаружить угрозу.
Новая порода угроз
Угрозы, создаваемые этой новой разновидностью вредоносного ПО, очень реальны. Исключая связь C2 и генерируя новый уникальный код во время выполнения, вредоносное ПО, подобное BlackMamba, практически не обнаруживается современными предиктивными решениями безопасности
BlackMamba служит ярким доказательством концепции предупреждения CyberArk в начале этого года о том, что инструмент ChatGPT от OpenAI может быть использован для создания полиморфного вредоносного ПО, которое крайне сложно обнаружить.
Совсем недавно исследователи Check Point предупредил, что киберпреступники активно обходят фильтры контента ChatGPT, создавая (и продавая доступ к) ботам Telegram, использующим API ChatGPT, в котором отсутствуют меры защиты от злоупотреблений пользовательского интерфейса ChatGPT.
В результате это позволяет создавать вредоносный контент, такой как фишинговые письма и код вредоносного ПО, без ограничений или барьеров, которые ChatGPT установил на своем пользовательском интерфейсе
- добавили исследователи Check Point.
Комментарии (0)