AI生成的恶意软件引发关注
关键要点
研究人员发现,AI生成的恶意软件在传播Rhadamanthys信息窃取器的活动中被使用。一段PowerShell脚本含有异常详细的注释,可能是由大型语言模型LLM生成的。攻击者TA547通过伪装成零售公司的邮件展开了针对数十家德国企业的恶意活动。Cyber威胁者利用LLM的技术正在不断演变,深度伪造deepfake也被用于网络犯罪中。研究人员在周三揭示,最近的一项活动中可能使用了AI生成的恶意软件来传播Rhadamanthys信息窃取器。
发现的一段PowerShell脚本用于解码基于Base64编码的窃取器并在内存中执行,脚本中包含异常详细的注释,这可能表明代码是通过大型语言模型如OpenAI的ChatGPT、Google的Gemini或Microsoft的Copilot生成的,Proofpoint研究人员在一篇博文中提到。
“具体来说,PowerShell脚本在每个组件的上方包含一个井号,后面跟着语法正确且极为详细的注释,”博文中提到。
这段脚本及其随附的Rhadamanthys有效负载被发现是一个恶意电子邮件活动的一部分,该活动由一个被称为TA547的威胁行为者及其疑似初始访问经纪人IAB所主导。该活动针对数十家德国企业,通过伪装成名为Metro的零售公司的邮件进行攻击。
这些网络钓鱼邮件包含一个伪装成发票的LNK文件附件,执行时将导致远程PowerShell脚本部署Rhadamanthys。根据Proofpoint的报告,Rhadamanthys是一种信息窃取恶意软件,最早在2022年8月被发现,此前已经在多种网络钓鱼活动中得到应用,但这是TA547首次使用该恶意软件。
虽然这次活动中投放Rhadamanthys的PowerShell脚本被怀疑是AI生成的,但研究人员指出,窃取器负载本身并没有变化。
SC Media对ChatGPTGPT4、Gemini免费版和Copilot的PowerShell脚本生成能力进行了测试,发现这三种LLM在生成代码的每个部分时都包括了详细的注释。
我们还将Proofpoint发布的代码示例截图提交给了两个流行的AI内容检测工具Copyleaks和GPTZero,结果显示这段代码大部分被预测为人类创作。ChatGPT、Gemini和Copilot生成的PowerShell示例同样也被提交给这些工具,结果显示它们大部分被预测为AI生成。
GPTZero对TA547 PowerShell示例的结果截图。
“尽管很难确认恶意内容是通过LLM创建的从恶意软件脚本到社交工程诱饵但这种内容的某些特征显示出是机器生成而非人类创作。无论是人类还是机器生成,对于这些威胁的防御都是相同的,”Proofpoint的研究人员表示。
网络威胁行为者对LLM的使用仍在不断发展,早期的例子包括越狱提示和专门针对网络犯罪的LLM,如WormGPT和FraudGPT。
已经观察到使用AI生成的文本进行社交工程的网络钓鱼活动,而且还有证据表明威胁行为者在利用LLM工具执行其他
蓝灯加速器优惠码
