Новый вредоносный софт маскируется под легитимные запросы к искусственному интеллекту

В основе метода лежит имитация взаимодействия с популярным API-эндпоинтом /v1/chat/completions, который применяется для общения с чат-ботами. Однако вместо стандартных параметров запроса вредоносная программа передает данные в формате Base64, зашифрованные с помощью операции XOR. Такой трафик внешне напоминает легитимные сессии с сервисами искусственного интеллекта, что значительно усложняет его обнаружение.

Особенностью атаки является использование облачной функции Tencent Cloud в качестве командного сервера. Подобная инфраструктура обеспечивает злоумышленникам автоматическое масштабирование и устойчивость к блокировкам. Кроме того, анализ показал, что вредоносная программа обладает функционалом трояна удаленного доступа, позволяя выполнять произвольные команды на зараженном устройстве.

Эксперты отмечают, что это не первый случай злоупотребления сервисами искусственного интеллекта. Ранее уже были зафиксированы кампании с использованием malware LameHug и бэкдора SesameOp. Тем не менее, новая атака демонстрирует более совершенные методы маскировки, поскольку полностью имитирует структуру легитимных API-запросов.

В рамках расследования также была выявлена многоэтапная схема распространения вредоносного кода. Изначально жертва получает RAR-архив с документом, который при открытии запускает цепочку загрузки дополнительных компонентов. Ключевым элементом является легитимное приложение SangforPromote.exe, которое злоумышленники используют для загрузки вредоносной библиотеки. Этот метод позволяет обойти стандартные средства защиты благодаря доверию к подписанному файлу.

Для противодействия подобным угрозам специалисты рекомендуют организациям внедрять комплексные меры безопасности. В первую очередь необходим мониторинг сетевого трафика к API-эндпоинтам искусственного интеллекта. Нестандартные форматы запросов и отсутствие обязательных заголовков должны немедленно вызывать подозрения. Дополнительно следует контролировать создание файлов в общедоступных каталогах, которые часто используются злоумышленниками для размещения вредоносных компонентов.

Важным аспектом защиты является ограничение доступа к облачным сервисам искусственного интеллекта. Многие организации допускают неограниченные исходящие подключения к подобным платформам, что создает идеальные условия для скрытного взаимодействия вредоносных программ с командными серверами. Сегментация сети и политики контроля доступа помогают минимизировать такие риски.

Прогнозируется, что в будущем злоумышленники будут активнее использовать сервисы искусственного интеллекта для своих целей. Растущая популярность чат-ботов и автоматизированных систем создает благоприятную среду для маскировки вредоносной активности. Следовательно, организациям необходимо адаптировать свои системы защиты к этим новым вызовам, сочетая традиционные методы анализа с технологиями машинного обучения.

Обнаруженная угроза подчеркивает важность проактивного подхода к кибербезопасности. Постоянный мониторинг, анализ поведения систем и оперативное обновление защитных механизмов становятся критическими элементами современной стратегии защиты. При этом особое внимание следует уделять аномалиям в работе с облачными сервисами, которые все чаще становятся мишенью для киберпреступников.

IPv4

• 39.97.57.244

URLs

• 1347790942-k1bok35vg3.ap-guangzhou.tencentscf.com/v1/chat/completions

SHA256

• 10c444262994c05930394388e6112ddd98b83118661868bccd83b1fa61160a62
• 195c283703ee7df7c7ef17c85b0fdf88de22348bb0755daf5f0c3ed319c8d88a
• 2e395436e97eaad9a087825d22005b6afc55044abf458604a5118c2ac9bde42a
• 67ea3ea3c58a57dbbdac48d4ce3d546816f715eaf32bec33a64a63c91541e697
• 91c43e7ddd98af63d6b1b130e997b909100f3eaf71e30511858cca4348b509db
• 93cf0d545a872c393c053031570bc5eaebfa1aa6a0860fd0b08b679b8ce52fd2
• 9f119d05403b1e079893fb77f6b8b2a9682d1df7ced31a189e7490924ccfb170
• b7dcf661844e6f3e94eb140a79787be6dad77c09ab0b97cf41a62afd07219190
• e513d12abd03a4e07788dd85888d187cb6ca6e69a59f22f00853cae0a0b34712