Компания Symantec зафиксировала увеличение числа атак, в которых злоумышленники используют крупные языковые модели (LLM) для создания вредоносного кода. Эти модели, изначально предназначенные для генерации текстов, могут быть использованы и в противоправных целях.
В одной из недавних кампаний злоумышленники отправляли фишинговые письма с вложенными ZIP-архивами, содержащими вредоносные LNK-файлы. Эти файлы, будучи запущенными, активировали скрипты PowerShell, сгенерированные с помощью LLM, что приводило к установке вредоносных программ.
В другой атаке злоумышленники использовали LLM для генерации HTML-кода, который выполнялся при открытии вредоносного вложения. Этот код загружал дополнительные полезные нагрузки. HTML-файл был небольшим и быстро загружался, что усложняло его обнаружение.
После открытия вложения пользователь видел простую веб-страницу, в то время как вредоносная программа уже была запущена в фоне. В данной кампании использовались такие вредоносные программы, как Dunihi, ModiLoader и LokiBot.
Таким образом, ИИ способен не только революционизировать мир, но и киберпреступность. Инструменты на базе LLM снижают порог входа для злоумышленников и повышают уровень их атак. Symantec продолжает борьбу с новыми угрозами, обеспечивая защиту от атак, вероятно сгенерированных с помощью LLM.