شرکت HP از رهگیری یک کمپین مخرب ایمیلی خبر داده است که بدافزاری را توزیع میکند که dropper آن توسط هوش مصنوعی تولید شده است. استفاده از هوش مصنوعی مولد در dropper این بدافزار، مطمئنا یک گام تکاملی به سمت تولید بدافزارها به کمک هوش مصنوعی است.
اچپی در ژوئن 2024 ایمیل فیشینگی را کشف کرده بود که در آن یک فایل HTML رمزگذاری شده وجود داشت. تا اینجا تکنیک جدیدی وجود نداشت. اما نکته مهم این بود که مهاجم، کلید رمزگشایی AES را در کدهای جاوااسکریپت جاسازی کرده بود که این روش رایجی در بین مهاجمان نیست. به این دلیل، محققان امنیتی HP با دقت بیشتری این فایل را بررسی کرده و اکنون به نتایج جدیدی رسیدهاند.
فایل HTML مذکور، به شکل یک وبسایت باز میشود اما حاوی یک قطعه کد VBScript و ابزار رایگان سرقت اطلاعاتAsyncRat است. کد VBScript همان dropper است که متغیرهای مختلفی را در رجیستری ثبت کرده و یک فایل JavaScript را به سیستم کاربر منتقل میکند. این فایل در نهایت با اجرای یک اسکریپت PowerShell باعث اجرای AsyncRAT میگردد.
همه این موارد رایج و معمول هستند به جز یک مورد: کدهای VBScript به شدت ساختاریافته بودند و به خوبی کامنتگذاری شده بودند. این نکته به نظر محققان غیرعادی آمد. چرا که بدافزارها معمولا مبهم هستند و هیچ توضیح و کامنتی درباره کدها نوشته نمیشود.
نکته دیگر اینکه کامنتها به زبان فرانسوی نوشته شده بودند که معمولا توسط سازندگان بدافزارها برای کامنتگذاری انتخاب نمیشود. سرنخهایی از این دست در نهایت باعث شد محققان فرضیهی تولید این dropper توسط هوش مصنوعی مولد را مطرح کنند.
آنها این فرضیه را با استفاده از یک هوش مصنوعی مولد برای تولید کدهای مشابه به آزمایش گذاشتند. اگرچه نتیجهی آزمایش را نمیتوان مطلقا دلیلی برای اثبات فرضیه دانست اما محققان اطمینان دادهاند که dropper این بدافزار از همین طریق تولید شده است.
این اتفاق همچنان عجیب به نظر میرسد. چرا کدها مبهمسازی نشده بودند؟ چرا مهاجم، کامنتها را حذف نکرده بود؟ آیا رمزگذاری هم به کمک هوش مصنوعی انجام شده است؟
الکس هولند، محقق ارشد تهدیدات سایبری HP توضیح داده است: «وقتی حملهای را ارزیابی میکنیم، مهارتها و منابع مورد نیاز را بررسی میکنیم. در این مورد، به حداقل منابع و مهارتها نیاز بوده است. AsyncRAT که رایگان است. ساخت فایل HTML هم نیازی به تخصص برنامهنویسی خاصی ندارد. هیچ زیرساخت خاصی هم به جز یک سرور C&C برای مدیریت بدافزار نیاز نبوده است. بدافزار بسیار ابتدایی بوده و مبهمسازی هم نشده است».
این موارد احتمال تازهکار بودن مهاجم را تقویت میکند. اما سوال مهمتر این است که اگر فرض کنیم این بدافزار توسط یک مهاجم کمتجربه تولید شده باشد، آیا ممکن است مهاجمان باتجربهتر از هوش مصنوعی به نحوی استفاده کنند که چنین سرنخهایی را نیز به جا نگذارند؟ واقعیت این است که احتمال آن کاملا وجود دارد.
به گفتهی هولند، «ما مدتی است که میدانیم هوش مصنوعی میتواند برای تولید بدافزار استفاده شود اما تاکنون هیچ اثبات قطعی نداشتیم. اکنون یک مورد داریم که به ما میگوید تهبکاران سایبری چگونه از هوش مصنوعی در حملات خود استفاده میکنند».