Исследователи обнаружили «театр ИИ»: вредоносное ПО с неработающими функциями на базе ChatGPT

Первым исследуемым образцом стал так называемый «инфостилер», программа для кражи данных, написанная на C#. Его особенность - попытка использовать API модели OpenAI GPT-3.5-Turbo для принятия решений. На первый взгляд, код, защищенный обфускатором ConfuserEx 2 и содержащий вызовы к ChatGPT, мог насторожить аналитиков. В теории, такая интеграция могла бы позволить менее квалифицированному злоумышленнику удаленно управлять зараженной системой, поручив ИИ задачи перемещения по сети, сбора данных или закрепления в системе. Однако при детальном изучении выяснилось, что четыре функции, использующие LLM, являются чистой воды симуляцией, или, как назвали это исследователи, «театром ИИ».

Так, функция "GenerateEvasionTechnique()" запрашивает у ИИ название техники уклонения от обнаружения, например, «Случайная задержка», но не реализует ее в коде, а лишь записывает в лог-файл. Аналогично, "GenerateObfuscatedCommunication()" получает от модели название метода обфускации данных, но не применяет его для реального шифрования передаваемой информации. Даже метод "AnalyzeTargetEnvironment()", который просит ИИ на основе данных о системе определить, сколько миллисекунд «поспать», выглядит бессмысленно - задержка в 1-5 секунд не оказывает существенного влияния на скрытность. Единственная функция, "SendToC2ServerWithLLM()", которая добавляет в HTTP-заголовки сгенерированный ИИ текст, делает это исключительно для антуража, не маскируя сам факт передачи данных. По сути, вредоносная программа успешно выполняет свою основную задачу - крадет cookies браузеров и системную информацию - без какой-либо реальной помощи от искусственного интеллекта. Исследователи в своем отчёте подчеркивают, что подобная реализация лишь создает шум, который, наоборот, привлекает внимание защитников.

Второй образец, написанный на Golang, представляет собой более продвинутый концепт. Это дроппер - программа-установщик, предназначенная для развертывания на целевой системе фреймворка для тестирования на проникновение Sliver. Его ключевое отличие - использование LLM в качестве «привратника» для принятия критического решения: запускать основную полезную нагрузку или нет. Перед исполнением дроппер собирает детальную телеметрию о системе: список процессов, сетевое окружение, наличие устройств USB, время работы. Эти данные передаются в виде промпта модели GPT-4, которая должна оценить, насколько безопасна среда для атаки.

Этот подход кардинально отличается от традиционных жестко заданных эвристик и списков исключений. Модель анализирует данные комплексно, выявляя подозрительные паттерны. Например, она может решить не запускать вредоносный код, если обнаружит в списке процессов инструмент мониторинга Sysmon или определит, что система находится в корпоративной сети. Решение возвращается в формате JSON с полями «execute» (true/false) и поясняющей причиной. Таким образом, злоумышленник перекладывает сложную задачу анализа операционной обстановки (OPSEC) на удаленный ИИ, что потенциально повышает скрытность атаки, поскольку логика принятия решений становится неявной для аналитиков.

Оба случая иллюстрируют текущее состояние дел. С одной стороны, мы видим примитивные попытки использовать модные технологии «для галочки», которые характерны для малоопытных авторов или сгенерированного с помощью ИИ кода. С другой - появляются концептуально новые схемы, где ИИ начинает выполнять осмысленные функции, такие как интеллектуальный анализ окружения. Пока что основным сдерживающим фактором для более глубокой интеграции являются сложности с развертыванием локальных моделей прямо в вредоносном образце для полностью автономной работы.

Тем не менее, тренд очевиден: искусственный интеллект постепенно снижает порог входа в киберпреступность, позволяя менее квалифицированным угрозам создавать функциональное вредоносное ПО. В будущем можно ожидать появления более адаптивных образцов, способных динамически генерировать или модифицировать свой код прямо на атакованном устройстве для обхода конкретных систем защиты. Уже сейчас специалистам по информационной безопасности стоит обращать внимание на нехарактерные сетевые соединения с API популярных LLM-сервисов, а также рассматривать подобную телеметрию как потенциальный индикатор компрометации. Борьба вступает в новую фазу, где алгоритмы будут противостоять алгоритмам, и готовность к этому противостоянию необходимо формировать уже сегодня.

SHA256

• 02ce798981fb2aa68776e53672a24103579ca77a1d3e7f8aaeccf6166d1a9cc6
• 052d5220529b6bd4b01e5e375b5dc3ffd50c4b137e242bbfb26655fd7f475ac6
• 1b6326857fa635d396851a9031949cfdf6c806130767c399727d78a1c2a0126c
• 7c7b7b99f248662a1f9aea1563e60f90d19b0ee95934e476c423d0bf373f6493