اتهامات تلاحق برنامج “بوويرشيل” القائم على الذكاء الاصطناعي بسرقة معلومات

Posted by عالم التكنولوجيا 12 أبريل، 2024 12:00 م
أتهامات تلاحق برنامج" بوويرشيل"القائم على الذكاء الاصطناعي بسرقة معلومات ..ما القصة؟
أتهامات تلاحق برنامج" بوويرشيل"القائم على الذكاء الاصطناعي بسرقة معلومات ..ما القصة؟
استخدم ممثل تهديد النص البرمجي “بوويرشيل” الذي تم إنشاؤه بمساعدة نظام الذكاء الاصطناعي، مثل ChatGPT من OpenAI أو Gemini من Google أو CoPilot من Microsoft، في حملة بريد إلكتروني  استهدفت عشرات المؤسسات في ألمانيا لتسليم برنامج سرقة المعلومات Rhadamanthys.

تشغيل الذكاء الاصطناعي “بوويرشيل” لنشر برنامج سرقة المعلومات

أرجع باحثون في شركة الأمن السيبراني Proofpoint ذلك الهجوم إلى ممثل تهديد يتم تتبعه باسم TA547، يعتقد أنه وسيط وصول أولي (IAB).

ويذكر أن TA547 المعروفة أيضًا باسم Scully Spider قد نشطت منذ عام 2017 على الأقل. حيث قدمت مجموعة متنوعة من البرامج الضارة لأنظمة Windows (ZLoader / Terdot ، Gootkit ، Ursnif ، Corebot . Atmos) وأنظمة Android (Mazar Bot ، Red Alert).

في الآونة الأخيرة بدأ ممثل التهديد في استخدام برنامج سرقة المعلومات المعياري رادامانثيس الذي يوسع باستمرار قدراته في جمع البيانات الخاصة به (الحافظة . المتصفح . ملفات تعريف الارتباط). وتتعقب Proofpoint شركة TA547 منذ عام 2017 وقالت إن هذه الحملة كانت الأولى التي يشاهد فيها ممثل التهديد باستخدام برنامج Rhadamanthys الضار. ويذكر أنه يتم توزيع برنامج سرقة المعلومات منذ سبتمبر 2022 على مجموعات متعددة من الجرائم الإلكترونية. وفقًا لنموذج البرامج الضارة كخدمة (MaaS).

يشتبه في استخدام برنامج PowerShell النصي المُنشأ بواسطة الذكاء الاصطناعي في هجوم TA547
يشتبه في استخدام برنامج PowerShell النصي المنشأ بواسطة الذكاء الاصطناعي في هجوم TA547

انتحال شخصية علامة تجارية 

وفقًا لباحثي Proofpoint، انتحل TA547 شخصية العلامة التجارية الألمانية Metro للنقود والـ carry في حملة بريد إلكتروني حديثة باستخدام الفواتير كإغراء لعشرات المؤسسات عبر مختلف الصناعات في ألمانيا. وكذلك إرسال رسائل عبر البريد الالكتروني. وشملت الرسائل ملف ZIP محميًا بكلمة المرور “MAR26”. والذي يحتوي على ملف اختصار ضار (.LNK) أدى الوصول إلى ملف الاختصار إلى تشغيل PowerShell لتشغيل نص عن بعد.

هذا النص PowerShell يفك تشفير ملف Rhadamanthys القابل للتنفيذ والمشفر بتشفير Base64 المخزن في متغير. ويتم تحميله كتجميع في الذاكرة ثم يتم تنفيذ نقطة دخول التجميع – Proofpoint. ومن جانبهم أوضح الباحثون أن هذه الطريقة سمحت بتنفيذ التعليمات البرمجية الضارة في الذاكرة دون لمس القرص. بالإضافة إلى ذلك عندما قام الباحثون بتحليل نص PowerShell الذي قام بتحميل Rhadamanthys. لاحظ الباحثون أنه يتضمن علامة جنيه / هاش (#) متبوعة بتعليقات خاصة لكل مكون وهي غير شائعة في التعليمات البرمجية التي ينشئها الإنسان.

نص “بوويرشيل” تم إنشاؤه بواسطة الذكاء الاصطناعي

لاحظ الباحثون أن هذه الخصائص نموذجية للرموز التي نشأت من حلول الذكاء الاصطناعي التوليدية مثل ChatGPT أو Gemini أو CoPilot.

على الرغم من أنهم لا يمكنهم الجزم بأن “بوويرشيل” رمز جاء من حل نموذج لغة كبير (LLM). فإن الباحثين يقولون إن محتوى النص يشير إلى احتمال استخدام TA547 للذكاء الاصطناعي التوليدي لكتابة النص.

وأوضح دانيال بلاكفورد، مدير أبحاث التهديدات في Proofpoint، لـ BleepingComputer أنه بينما يبرع المطورون في كتابة التعليمات البرمجية فإن تعليقاتهم عادةً ما تكون غامضة. أو على الأقل غير واضحة ومع وجود أخطاء نحوية.

وقال بلاكفورد لـ BleepingComputer: “يشتبه في أن نص PowerShell الذي يشتبه في أنه تم إنشاؤه بواسطة LLM يتم التعليق عليه بدقة وبقواعد نحوية لا تشوبها شائبة. ويكاد كل سطر من التعليمات البرمجية يحتوي على بعض التعليقات المرتبطة به”.

بالإضافة إلى ذلك بناءً على إخراج التجارب مع رموز LLM التي تقوم بإنشاء التعليمات البرمجية يتمتع الباحثون بدرجة عالية إلى متوسطة من الثقة بأن النص الذي استخدمته TA.

نموذج البرنامج النصي PowerShell الذي تم إنشاؤه باستخدام ChatGPT
نموذج البرنامج النصي PowerShell الذي تم إنشاؤه باستخدام ChatGPT

اقرأ أيضا:

5 شركات للأمن السيبراني يجب عليك التحقق منها في معرض جيتكس جلوبال 2022

المصدر

الرابط المختصر :
الكلمات الدليلة