Вредоносная программа Slopoly, созданная искусственным интеллектом, обеспечила злоумышленникам недельный доступ в ходе атаки вымогателя Interlock
Новый вредоносный инструмент под названием Slopoly, который, по твердому убеждению аналитиков кибербезопасности, был сгенерирован с помощью искусственного интеллекта, позволил злоумышленникам сохранять устойчивый доступ к скомпрометированному серверу более недели. Этот доступ был использован для кражи конфиденциальных данных в рамках кампании ransomware Interlock. Цепь вторжения началась с метода социальной инженерии, известного как уловка ClickFix. На поздних этапах операции атакующие развернули бэкдор Slopoly. Этот скрипт PowerShell функционирует как клиент для командного фреймворка, предоставляя злоумышленникам удаленный контроль над зараженной системой.
Исследователи IBM X-Force, изучившие скрипт, обнаружили ряд убедительных признаков, указывающих на его создание с помощью большой языковой модели. Хотя конкретный ИИ-инструмент определить не удалось, характеристики кода крайне нетипичны для вредоносных программ, написанных человеком. Ключевыми уликами стали чрезмерное количество поясняющих комментариев в коде, тщательно структурированные процедуры логирования, комплексные механизмы обработки ошибок и использование четко названных, описательных переменных. Такой организованный и хорошо документированный код нехарактерен для зловредного ПО, которое обычно обфусцировано и написано с минимальной ясностью, чтобы затруднить анализ.
Атака была приписана IBM финансово мотивированной группе Hive0163. Её основной целью считается вымогательство, достигаемое путем масштабной эксфильтрации данных с последующим развертыванием ransomware. Несмотря на предполагаемое сложное происхождение, созданное с помощью ИИ, вредоносная программа Slopoly сама по себе оценивается как относительно простая по своим возможностям. Однако её использование в цепочке атаки является значительным событием. Оно демонстрирует, что злоумышленники активно используют генеративный ИИ для ускорения разработки собственного вредоносного ПО.
Хотя комментарии в скрипте Slopoly описывают его как «Полиморфный клиент для обеспечения устойчивости командного центра», анализ IBM X-Force не выявил реальных функций, позволяющих коду изменять свою структуру или сигнатуру для уклонения от обнаружения — отличительной черты истинно полиморфных угроз. Это несоответствие дополнительно подтверждает теорию генерации искусственным интеллектом.
Такое ускорение разработки может снизить порог входа для киберпреступников и помочь создавать инструменты, которые легче обходят традиционные сигнатурные методы обнаружения. Эксперты предупреждают, что эта тенденция способна сделать киберугрозы более доступными и адаптивными, требуя от защитников перехода к продвинутым поведенческим и контекстным методам анализа.
