Специалисты по кибербезопасности из Palo Alto Networks зафиксировали тревожную тенденцию: злоумышленники всё чаще используют инструменты генерации кода на основе больших языковых моделей (Large Language Models) и искусственного интеллекта (ИИ) для массового производства вредоносного программного обеспечения. В центре внимания оказались расширения для браузера Google Chrome, которые представляют собой новую волну угроз, нацеленных на пользователей электронной коммерции. Эксперты идентифицировали две отдельные кампании, в рамках которых злоумышленники применяют генерацию кода для ускорения атак, что знаменует собой сдвиг в тактике киберпреступников.
Описание
Первая кампания включает в себя шесть вредоносных расширений, участвующих в так называемой «аффилиат-кампании по перехвату трафика». Их основная функция - внедрение партнёрских (аффилиатных) отслеживающих ссылок в трафик пользователей, направляющийся на сайты онлайн-магазинов, без их явного согласия. Это позволяет злоумышленникам незаконно получать комиссионные от продаж. Вторая кампания представлена четырьмя расширениями, обладающими двойной функциональностью: они маскируются под инструменты повышения продуктивности на основе генеративного ИИ (GenAI), но при этом занимаются хищением конфиденциальных данных пользователей. Подобные гибридные угрозы особенно коварны, так как привлекают жертв полезным функционалом, скрывая истинные зловредные намерения.
Аналитики выделили ряд характерных признаков, выдающих искусственное происхождение кода этих расширений. Во-первых, это избыточно подробные комментарии, в которых объясняются очевидные операции. Во-вторых, стратегическая разметка кода с использованием заголовков разделов, стилизованных под обучающие руководства. В-третьих, шаблонная структура с универсальными именами переменных и функций, характерная для примеров из документации, а не для реальных приложений. Также в коде часто встречаются незавершённые паттерны, комментарии-заглушки и однотипные, систематические соглашения об именовании. Наиболее показательным признаком является идентичность структур кода в разных расширениях, выполняющих одну и ту же функцию, что указывает на их генерацию по сходным запросам к ИИ. Эти «цифровые отпечатки пальцев» позволяют исследователям с высокой долей уверенности относить новые образцы вредоносного ПО к продуктам автоматизированной генерации.
Последствия таких атак выходят за рамки простого мошенничества с партнёрскими ссылками. Расширения, занимающиеся эксфильтрацией данных, могут похищать логины, пароли, данные банковских карт, историю браузера и другую чувствительную информацию. Для компаний, чьи сотрудники используют подобные расширения в рабочих целях, риски многократно возрастают, так как под угрозой оказываются корпоративные учетные данные и коммерческая тайна. Кроме того, сам факт успешного внедрения расширения в браузер пользователя открывает злоумышленникам широкие возможности для дальнейших атак, включая перенаправление на фишинговые сайты или загрузку более опасных полезных нагрузок.
Скорость, с которой ИИ позволяет создавать и модифицировать вредоносный код, требует адекватного ответа со стороны защитников. Традиционные методы анализа, основанные на сигнатурах известных угроз, могут оказаться недостаточно эффективными против постоянно эволюционирующего ИИ-генерируемого кода. В связи с этим эксперты предлагают ряд продвинутых стратегий защиты. Ключевой мерой является развёртывание систем анализа кода, способных выявлять паттерны, характерные для ИИ. Это включает в себя анализ абстрактного синтаксического дерева (Abstract Syntax Tree, AST) для обнаружения аномального соотношения комментариев и исполняемого кода, а также проверки на соответствие шаблонным соглашениям об именовании. Не менее важна технология обнаружения сходства, которая позволяет сравнивать новый подозрительный код с уже известными образцами вредоносных расширений, созданных ИИ, выявляя общие черты даже при поверхностных изменениях.
Таким образом, появление ИИ-ускоренных кампаний с вредоносными расширениями для браузеров - это не просто очередная тактика, а качественный скачок в арсенале киберпреступников. Он демонстрирует, как технологии искусственного интеллекта могут быть обращены против их же создателей, автоматизируя и удешевляя процесс создания угроз. Для организаций и частных пользователей это служит жёстким напоминанием о необходимости повышенной бдительности при установке любых сторонних дополнений для браузеров, особенно тех, что позиционируют себя как инструменты на основе ИИ. Со стороны индустрии безопасности требуется активное внедрение проактивных методов анализа, способных не отставать от скорости, которую ИИ придаёт наступательным операциям.
Индикаторы компрометации
Extension IDs
- aohfjaadlbiifnnajpobdhokecjokhab
- bonhfflnjgdbnhcpjemkknlhimceckgb
- dkhpgbbhlnmjbkihoeniojpkggkabbbl
- eebihieclccoidddmjcencomodomdoei
- gjlbbcimkbncedhofeknicfkhgaocohl
- hkhmodcdjhcidbcncgmnknjppphcpgmh
- iefpkdilnfhogjbkhgnliaomoldgkdlj
- mcaihdkeijgfhnlfcdehniplmaapadgb
- mpgaodghdhmeljgogbeagpbhgdbfofgb
- nppjmiadmakeigiagilkfffplihgjlec
