Эксперты в области кибербезопасности из компании F6 в ходе рутинного мониторинга обнаружили новую цепочку заражения. Исследование показало, что злоумышленники, вероятно, использовали большие языковые модели (Large Language Models, LLM) для создания начального кода вредоносного программного обеспечения (ВПО). Этот инцидент демонстрирует растущую тенденцию применения искусственного интеллекта в криминальных целях, что потенциально может увеличить масштаб и частоту кибератак.
Описание
21 ноября 2025 года система F6 Threat Intelligence зафиксировала подозрительный архив с названием «Изделие-44 ДСП.rar». Архив был размещен на одной из публичных интернет «песочниц» - сервисов для анализа файлов. Внутри находился файл сценария «Изделие-44 ДСП.hta», который инициировал многоступенчатую атаку. Специалисты сразу обратили внимание на необычные особенности кода. Он был предельно простым, тщательно откомментированным, правильно отформатированным и не содержал грамматических ошибок. Подобный «почерк» указывает на возможное участие языковой модели в процессе разработки вредоноса.
Запуск HTA-файла приводит к загрузке исполняемого файла с удаленного сервера. Этот файл сохраняется в системе под видом легитимной утилиты «tcpview.exe». Для обеспечения постоянного присутствия в системе вредонос создает ярлык для этого файла в папке автозагрузки Windows. Таким образом, заражение происходит при каждом запуске операционной системы. Исследователи классифицировали этот компонент как загрузчик PureCrypter. Примечательно, что файл маскировался под установщик браузера Opera GX и был подписан недействительной цифровой подписью от имени компании Opera Norway AS.
Загрузчик PureCrypter содержит в своих ресурсах большое изображение формата JPG. Аналитики полагают, что его огромный размер используется исключительно для обхода систем безопасности, которые могут пропускать файлы большого объема без детальной проверки. Основная задача загрузчика - дешифровать и выполнить в памяти операционной системы следующую стадию атаки. Для этого используется зашифрованная полезная нагрузка, скрытая в том самом изображении. Дешифровка происходит с помощью алгоритма RC2.
После дешифровки PureCrypter внедряет основной вредоносный код в новый, только что созданный процесс. Эта техника, известная как process hollowing, позволяет скрыть активность от средств защиты. Конечной целью всей цепочки является установка трояна удаленного доступа DarkTrack RAT. Этот сложный вредонос предоставляет злоумышленникам полный контроль над зараженным компьютером. Конфигурационный файл трояна указывает на управляющий сервер с доменным именем, имитирующим известную поисковую систему.
В ходе дальнейшего расследования аналитики F6 обнаружили альтернативный вектор заражения. Им оказался вредоносный макрос (VBA-скрипт), встроенный в документ. При его выполнении запускается идентичная цепочка действий, приводящая к установке того же самого DarkTrack RAT. Это указывает на то, что злоумышленники используют многоэтапные и разнообразные методы для доставки своей конечной полезной нагрузки.
Обнаруженный инцидент служит тревожным сигналом для индустрии информационной безопасности. Во-первых, он подтверждает, что киберпреступники активно экспериментируют с искусственным интеллектом для автоматизации создания кода. Во-вторых, атака сочетает в себе относительно простой, возможно, сгенерированный ИИ, начальный загрузчик с профессионально разработанным и мощным трояном. Такой симбиоз может снизить порог входа для менее квалифицированных злоумышленников и увеличить общий объем угроз. Эксперты рекомендуют компаниям усиливать защиту конечных точек, блокировать выполнение скриптов из непроверенных источников и обучать сотрудников правилам кибергигиены, особенно в контексте фишинговых писем с вредоносными вложениями.
Индикаторы компрометации
IPv4
- 212.11.64.185
Domains
- wwwyandex.org
URLs
- https://store3.gofile.io/download/direct/590939a1-31ec-476b-b451-40d809d91bde/1.exe
MD5
- 06d5fdfabf8ef1f61c1182318652509b
- 265dfa924da79d74b1bbaebe348aaf0d
- 50838f9ce351053f1f8707d5aeb11528
- a7c286cc3ef3e5d3a07b99d53e3be032
- d3b6c14b4bbad6fd72881ff6b88a0de4
- e6846e5074ef5e583df74d989a32833f
SHA1
- 5e0cd038f6db10329b65af40790a491fc1d2ed7b
- 65442d77207892d7668e0899a32a3cae2285b3ab
- 83458906e6888b0b20b091ce1250cfc7e0e81ca6
- 8bccfb067f0c27b285f3c8586b1d899e69b57565
- 9b61246c955cfad81187930dea280173fae2a04d
- d561018ff9ca536b121ac2ca211ae394d75ac373
SHA256
- 2f76a3c533e42c18a1734ff872704cfce6463c5e93c0d90045b59e6574f342b5
- b1161a07be6ae2742ea5bc397ff173aea9d9e9e6e0440f6bd263ec8a481a76f0
- bbbc2a56ba69aefa567dbffe1982e21c7317e305741f7027cd0975c4bf79f8df
- d1c9951d5e219981f9fd21d465491728c2005718be2d96c9814a50c88accd1e7
- d6a8e2dfc28abcf9b63ec1827d6568b09d76310d1db1794683ea6ded30dc532e
- dc54a080caeea8f57a7dacfc519d8c17d28ce416a012c37030bfedfb27945a6f
