Robot Programmer

フランスのユーザーをターゲットにした電子メールキャンペーンにおいて、研究者は、AsyncRATマルウェアを配信するために生成型人工知能サービスの助けを借りて作成されたと考えられる悪意のあるコードを発見した。

サイバー犯罪者が生成AI技術を使用して説得力のある電子メールを作成する一方で、政府機関は、ベンダーが実施したセーフガードや制限にもかかわらず、悪意のあるソフトウェアを作成するためにAIツールが悪用される可能性について警告している。

AIが作成したマルウェアは、実際の攻撃でも発見されている。今年初め、サイバーセキュリティ企業のProofpointは、AIシステムを使用して作成された可能性が高い悪意のあるPowerShellスクリプトを発見した

技術力の低い悪意のある行為者がマルウェアの開発にAIを利用するようになっている中、HPのセキュリティ研究者は6月上旬に、AI生成システムが作成するのと同じ方法でコメントされたコードを使用した悪意のあるキャンペーンを発見した。

このキャンペーンでは、パスワードで保護されたZIPアーカイブを配信するためにHTMLの密輸が使用されており、研究者はこれをブルートフォースで解除しました。

HP Wolf Securityは、技術スキルの低いサイバー犯罪者が生成AIを使用してマルウェアを開発するケースが増えていると報告しており、2024年第2四半期の「Threat Insights」レポートでもその一例が紹介されている。

6月上旬、HPはフランスのユーザーをターゲットにしたフィッシングキャンペーンを発見しました。このキャンペーンでは、HTMLの密輸を利用して、VBScriptとJavaScriptコードを含むパスワードで保護されたZIPアーカイブを配信していました。

AES encryption implementation in JavaScript
JavaScriptでのAES暗号化実装
ソースはこちら:HP

パスワードをブルートフォースした後、研究者はコードを分析し、「攻撃者がコード全体をきちんとコメントしている」ことを発見した。

「これらのコメントは、生成AIサービスが説明付きの模範的なコードを作成できるのと同じように、コードが何をするのかを正確に記述しています。

VBScriptは感染したマシン上で永続性を確立し、スケジュールされたタスクを作成し、Windowsレジストリに新しいキーを書き込む。

研究者は、AIが生成した悪意のあるコードを示す指標として、スクリプトの構造、各行を説明するコメント、関数名や変数のネイティブ言語の選択などを挙げている。

Comments in the VBScript code
VBScriptコード内のコメント
Source:HP

このマルウェアは、被害マシンのキー入力を記録し、暗号化された接続を提供することで、遠隔監視と制御を行います。このマルウェアは、追加のペイロードを配信することもできます。

Complete infection chain
完全な感染チェーン
HP

また、HP Wolf Securityのレポートでは、その可視性に基づいて、アーカイブが今年上半期で最も人気のある配信方法であることも強調している。

ジェネレーティブAIは、低レベルの脅威行為者が数分でマルウェアを作成し、さまざまな地域やプラットフォーム(Linux、macOS)を標的とした攻撃用にカスタマイズするのに役立ちます。

完全に機能するマルウェアを構築するためにAIを使用していないとしても、ハッカーは、より高度な脅威を作成する際に、作業をスピードアップするためにこの技術に依存しています。