شرکت HP از رهگیری یک کمپین مخرب ایمیلی خبر داده است که بدافزاری را توزیع می‌کند که dropper آن توسط هوش مصنوعی تولید شده است. استفاده از هوش مصنوعی مولد در dropper این بدافزار، مطمئنا یک گام تکاملی به سمت تولید بدافزارها به کمک هوش مصنوعی است. 

اچ‌پی در ژوئن 2024 ایمیل فیشینگی را کشف کرده بود که در آن یک فایل HTML رمزگذاری شده وجود داشت. تا اینجا تکنیک جدیدی وجود نداشت. اما نکته مهم این بود که مهاجم، کلید رمزگشایی AES را در کدهای جاوااسکریپت جاسازی کرده بود که این روش رایجی در بین مهاجمان نیست. به این دلیل، محققان امنیتی HP با دقت بیشتری این فایل را بررسی کرده و اکنون به نتایج جدیدی رسیده‌اند.

فایل HTML مذکور، به شکل یک وب‌سایت باز می‌شود اما حاوی یک قطعه کد VBScript و ابزار رایگان سرقت اطلاعاتAsyncRat  است. کد VBScript همان dropper است که متغیرهای مختلفی را در رجیستری ثبت کرده و یک فایل JavaScript را به سیستم کاربر منتقل می‌کند. این فایل در نهایت با اجرای یک اسکریپت PowerShell باعث اجرای AsyncRAT می‌گردد.

همه این موارد رایج و معمول هستند به جز یک مورد: کدهای VBScript به شدت ساختاریافته بودند و به خوبی کامنت‌گذاری شده بودند. این نکته به نظر محققان غیرعادی آمد. چرا که بدافزارها معمولا مبهم هستند و هیچ توضیح و کامنتی درباره کدها نوشته نمی‌شود.

نکته دیگر اینکه کامنت‌ها به زبان فرانسوی نوشته شده بودند که معمولا توسط سازندگان بدافزارها برای کامنت‌گذاری انتخاب نمی‌شود. سرنخ‌هایی از این دست در نهایت باعث شد محققان فرضیه‌‌ی تولید این dropper توسط هوش مصنوعی مولد را مطرح کنند.

آنها این فرضیه را با استفاده از یک هوش مصنوعی مولد برای تولید کدهای مشابه به آزمایش گذاشتند. اگرچه نتیجه‌ی آزمایش را نمی‌توان مطلقا دلیلی برای اثبات فرضیه دانست اما محققان اطمینان داده‌اند که dropper این بدافزار از همین طریق تولید شده است.

این اتفاق همچنان عجیب به نظر می‌رسد. چرا کدها مبهم‌سازی نشده بودند؟ چرا مهاجم، کامنت‌ها را حذف نکرده بود؟ آیا رمزگذاری هم به کمک هوش مصنوعی انجام شده است؟

الکس هولند، محقق ارشد تهدیدات سایبری HP توضیح داده است: «وقتی حمله‌ای را ارزیابی می‌کنیم، مهارت‌ها و منابع مورد نیاز را بررسی می‌کنیم. در این مورد، به حداقل منابع و مهارت‌ها نیاز بوده است. AsyncRAT که رایگان است. ساخت فایل HTML هم نیازی به تخصص برنامه‌نویسی خاصی ندارد. هیچ زیرساخت خاصی هم به جز یک سرور C&C برای مدیریت بدافزار نیاز نبوده است. بدافزار بسیار ابتدایی بوده و مبهم‌سازی هم نشده است». 

این موارد احتمال تازه‌کار بودن مهاجم را تقویت می‌کند. اما سوال مهم‌تر این است که اگر فرض کنیم این بدافزار توسط یک مهاجم کم‌تجربه تولید شده باشد، آیا ممکن است مهاجمان باتجربه‌تر از هوش مصنوعی به نحوی استفاده کنند که چنین سرنخ‌هایی را نیز به جا نگذارند؟ واقعیت این است که احتمال آن کاملا وجود دارد.

به گفته‌ی هولند، «ما مدتی است که می‌دانیم هوش مصنوعی می‌تواند برای تولید بدافزار استفاده شود اما تاکنون هیچ اثبات قطعی نداشتیم. اکنون یک مورد داریم که به ما می‌گوید تهبکاران سایبری چگونه از هوش مصنوعی در حملات خود استفاده می‌کنند».