Saldırganlar, Rhadamanthys, NetSupport, CleanUpLoader, ModiLoader, LokiBot ve Dunihi gibi çeşitli yükleri indirmek için kimlik avı e-postaları aracılığıyla gönderilen kötü amaçlı kod üretmek amacıyla Büyük Dil Modellerini kullanıyor.
Bu durum, tehdit aktörlerinin kötü amaçlı yazılım oluşturma ve dağıtımını otomatikleştirmek için yapay zekayı kullanma eğiliminin endişe verici olduğunu gösteriyor ve siber güvenlik savunmaları için önemli zorluklar yaratıyor.
Geniş kapsamlı bir siber saldırı kampanyası, yürütüldüğünde LLM tarafından oluşturulan PowerShell betiklerini indiren kötü amaçlı LNK dosyalarını barındıran parola korumalı ZIP arşivleri içeren kimlik avı e-postalarından yararlanıyor.
Bu betikler, aciliyet temelli sosyal mühendislik taktiklerini kullanarak ve kötü amaçlı yazılımları görünürde meşru belgeler içine gizleyerek çeşitli sektörlerde kötü amaçlı yazılım dağıtımını kolaylaştırır.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
İyi biçimlendirilmiş kodu ve açıklayıcı yorumlarından anlaşıldığı üzere, LNK dosyası içeren bir ZIP dosyasının, büyük ihtimalle bir LLM öğrencisi tarafından oluşturulmuş bir PowerShell betiğini çalıştırdığı bulundu.
ChatGPT kullanılarak yapılan araştırma da bunu tekrarlayarak otomatik komut dosyası oluşturmanın kolaylığını kanıtladı.
Kampanyanın son zararlı yazılımları arasında bilgi çalan Rhadamanthys kötü amaçlı yazılımı ve CleanUpLoader arka kapısı da yer alıyor. Bu, kötü amaçlı faaliyetleri otomatikleştirmek için yapay zekadan yararlanan gelişmiş bir tehdit aktörünün varlığını gösteriyor.
Bir saldırgan, İK bildirimi gibi görünen aldatıcı bir kimlik avı e-postası göndererek bir siber saldırı başlatır.
E-posta, alıcıyı açmaya ikna etmek için tasarlanmış kötü amaçlı bir ek içeriyor ve bu, saldırının ilk erişim aşamasını işaret ediyor ve daha fazla kötü amaçlı faaliyet için potansiyel bir dayanak noktası sağlıyor.
Saldırgan, alıcının e-postayla etkileşime girme olasılığını artırmak için aciliyet duygusu yaratmak veya alıcıyı taklit etmek gibi çeşitli sosyal mühendislik taktiklerini kullanabilir.
Kötü amaçlı bir eki açmak, gömülü JavaScript içeren LLM tarafından oluşturulan bir HTML dosyasının yürütülmesini tetikler. Bu dosya, ek kötü amaçlı yükleri alıp yürütmek üzere tasarlanmış, ilk enfeksiyon vektörü görevi görür.
Aldatıcı derecede basit bir web sayfası göstermesine rağmen, altta yatan HTML kodu, asgari düzeyde insan müdahalesiyle otomatik oluşturmayı gösteren belirgin LLM üretimi özellikleri sergiliyor ve bu da LLM’lerin kötü amaçlı içeriğin hızlı ve büyük ölçekli üretimini önemli ölçüde kolaylaştırma potansiyelini vurguluyor.
Dunihi (H-Worm) kötü amaçlı yazılım yükleyicisini sessizce indiren kimlik avı kampanyaları için HTML kodu üretmek amacıyla LLM derecelerinden yararlanırlar.
Kullanıcılar, tarayıcı indirme izinleri açık olmadığı sürece sistemlerini farkında olmadan bu tehdide maruz bırakıyorlar.
Kampanyanın çok yönlülüğü, siber suçluların gelişen taktiklerini vurgulayan ModiLoader, LokiBot ve NetSupport RAT dahil olmak üzere birden fazla yükü teslim etme yeteneğinde açıkça görülüyor.
Yapay zeka, siber suçu hızla demokratikleştiriyor ve saldırganlara gelişmiş kimlik avı saldırıları tasarlama ve daha önce ileri düzeyde uzmanlık gerektiren kötü amaçlı kodlar üretme araçları sağlıyor.
Symantec’e göre, yapay zeka yetenekleri olgunlaştıkça tehdit ortamı gelişecek ve daha güçlü, ölçeklenebilir ve kaçınan saldırılar ortaya çıkacak ve bu da riskleri azaltmak için sağlam karşı önlemler gerektirecek.
Protect Your Business Emails From Spoofing, Phishing & BEC with AI-Powered Security | Free Demo