HP 拦截了一封电子邮件活动,其中包含由人工智能生成的植入程序传送的标准恶意软件负载。在植入程序上使用 gen-AI 几乎可以肯定是迈向真正的新型 AI 生成的恶意软件有效负载的进化步骤。
2024 年 6 月,HP 发现了一封网络钓鱼电子邮件,其中包含常见发票主题的诱饵和加密的 HTML依恋;也就是说,通过 HTML 走私来逃避检测。除了加密之外,这里没有什么新的东西。通常,网络钓鱼者会将准备好的加密存档文件发送到目标。惠普首席威胁研究员 Patrick Schlapfer 解释说,在这种情况下,攻击者在附件中的 JavaScript 中实现了 AES 解密密钥。这并不常见,也是我们仔细研究的主要原因。惠普现已报告了这一仔细观察。
解密的附件打开时显示为网站的外观,但包含 VBScript 和免费提供的 AsyncRAT infostealer。VBScript 是 infostealer 有效负载的释放器。它将各种变量写入注册表;它将一个 JavaScript 文件放入用户目录中,然后作为计划任务执行。创建一个 PowerShell 脚本,这最终会导致 AsyncRAT 有效负载的执行。
所有这些都是相当标准的,但只是一方面。VBScript 结构清晰,每个重要命令都有注释。施拉普弗补充道,这很不寻常。恶意软件通常经过混淆处理,不包含任何注释。事实恰恰相反。它也是用法语编写的,法语可以工作,但不是恶意软件编写者选择的通用语言。诸如此类的线索让研究人员认为该脚本不是由人类编写的,而是由 gen-AI 为人类编写的。
他们通过使用自己的 gen-AI 生成一个脚本来测试这一理论,该脚本的效果非常好。类似的结构和注释。虽然结果并不是绝对的证据,但研究人员确信这种植入式恶意软件是通过 gen-AI 生成的。
但它仍然有点奇怪。为什么没有被混淆?为什么攻击者不删除评论?加密也是借助AI实现的吗?答案可能在于人工智能威胁的普遍观点,它降低了恶意新手的进入门槛。
Schlapfer 联合首席威胁研究员 Alex Holland 解释说,通常,当我们评估攻击时,我们检查所需的技能和资源。在这种情况下,所需资源最少。有效负载 AsyncRAT 是免费提供的。HTML 走私不需要任何编程专业知识。除了一个 C 之外,没有任何基础设施