Нигерийский киберпреступник использовал ChatGPT и Grok для создания фишинговых атак, раскрывает исследование

Лаборатория кибербезопасности DarkArmor провела детальный анализ более 3000 скриншотов с рабочего стола нигерийского киберпреступника, известного под псевдонимом Тоби (Tobechukwu Eustace Opara). Собранные данные раскрывают высокоорганизованную фишинговую операцию, отличающуюся быстрой сменой инфраструктуры, злоупотреблением просроченными доменами и активным использованием инструментов искусственного интеллекта, таких как ChatGPT и Grok, для создания вредоносного контента и автоматизации атак.

Описание

Деятельность Тоби представляет собой пример современной киберпреступности, где злоумышленники эффективно комбинируют технические инструменты и социальную инженерию. Его операция была тщательно структурирована и разделена на отдельные компоненты, что позволяло минимизировать риски и быстро адаптироваться к противодействию со стороны правоохранительных органов и компаний информационной безопасности.

Одной из ключевых особенностей его метода работы стало активное использование искусственного интеллекта. Такие сервисы, как ChatGPT и Grok, применялись для генерации убедительных фишинговых писем, создания кода для веб-ресурсов, имитирующих легитимные сайты, и написания скриптов, автоматизирующих рассылку вредоносных сообщений. Это не только ускоряло подготовку атак, но и повышало их качество, затрудняя жертвам и системами защиты распознавание мошеннических схем.

Инфраструктура атак основывалась на короткоживущих удалённых серверах, доступ к которым осуществлялся через протокол удалённого рабочего стола (RDP). Такая тактика позволяла избегать хранения критически важных данных на локальных устройствах, что значительно усложняло возможность его обнаружения и задержания. Кроме того, Тоби активно использовал просроченные доменные имена, которые зачастую вызывают меньше подозрений у пользователей и систем фильтрации.

Тоби действовал не только как самостоятельный оператор, но и как участник более широкой преступной экосистемы. Он выступал в роли как покупателя, так и продавца услуг, взаимодействуя с посредниками по аренде серверов, партнёрами (аффилиатами) и менее опытными злоумышленниками. Это демонстрирует, что современная киберпреступность всё чаще строится по модели бизнеса, где различные участники цепочки выполняют узкоспециализированные роли.

Помимо оперативных данных, исследователи также получили доступ к личной информации злоумышленника. На скриншотах были зафиксированы его личные переписки, включая общение с близкими, религиозные материалы и финансовые операции. Эти детали не только позволили установить его личность с высокой степенью уверенности, но и пролили свет на повседневную жизнь человека, совмещающего противоправную деятельность с обычными человеческими отношениями.

Собранная информация имеет значительную ценность для проактивного противодействия киберугрозам. Понимание методов, инструментов и инфраструктуры, используемых таким преступником, позволяет компаниям и правоохранительным органам улучшать механизмы защиты, вовремя выявлять подозрительную активность и предотвращать потенциальные атаки до того, как они нанесут ущерб.

Этот случай также поднимает важные вопросы об этике и регулировании использования технологий искусственного интеллекта. Доступность мощных инструментов, таких как языковые модели, создаёт новые возможности не только для разработчиков и исследователей, но и для злоумышленников, которые могут применять их в противоправных целях. Это требует усиления мер контроля и развития методов обнаружения злоупотреблений ИИ без ограничения его позитивного потенциала.

В целом, исследование DarkArmor наглядно демонстрирует, как современные киберпреступники сочетают техническую изобретательность с осторожностью и адаптивностью. Раскрытие таких кейсов помогает специалистам по безопасности лучше понимать evolving-угрозы и разрабатывать более эффективные стратегии защиты.