بواسطة: مارك بوين | Intelligent Ciso
يشير أحدث تقرير إلى استخدام الذكاء الاصطناعي في إنشاء نصوص البرامج الضارة، واعتماد الجهات الفاعلة في التهديد على الإعلانات الخبيثة لنشر أدوات PDF المارقة والبرامج الضارة المضمنة في ملفات الصور.
أصدرت شركة HP أحدث تقرير Threat Insights Report والذي يكشف عن كيفية استخدام المهاجمين للذكاء الاصطناعي التوليدي للمساعدة في كتابة التعليمات البرمجية الضارة.
اكتشف فريق أبحاث التهديدات لدى HP حملة ChromeLoader كبيرة ومحسنة منتشرة من خلال الإعلانات الخبيثة التي تؤدي إلى أدوات PDF مزيفة ذات مظهر احترافي، كما اكتشف مجرمي الإنترنت الذين يقومون بتضمين تعليمات برمجية ضارة في صور SVG.
يقدم التقرير تحليلاً للهجمات الإلكترونية في العالم الحقيقي، مما يساعد المؤسسات على مواكبة أحدث التقنيات التي يستخدمها مجرمو الإنترنت للتهرب من الكشف واختراق أجهزة الكمبيوتر في ظل مشهد الجرائم الإلكترونية سريع التغير. واستنادًا إلى البيانات من ملايين نقاط النهاية التي تعمل بنظام HP Wolf Security، تتضمن الحملات البارزة التي حددها باحثو التهديدات في HP ما يلي:
• الذكاء الاصطناعي التوليدي يساعد في تطوير البرامج الضارة في البرية: يستخدم مجرمو الإنترنت بالفعل GenAI لإنشاء إغراءات تصيد مقنعة ولكن حتى الآن كانت هناك أدلة محدودة على أن الجهات الفاعلة في مجال التهديد تستخدم أدوات GenAI لكتابة التعليمات البرمجية. حدد الفريق حملة تستهدف الناطقين بالفرنسية باستخدام VBScript وJavaScript يُعتقد أنها كتبت بمساعدة GenAI. إن بنية البرامج النصية والتعليقات التي تشرح كل سطر من التعليمات البرمجية واختيار أسماء الوظائف والمتغيرات باللغة الأصلية هي مؤشرات قوية على أن الجهة الفاعلة في مجال التهديد استخدمت GenAI لإنشاء البرامج الضارة. يصيب الهجوم المستخدمين ببرنامج AsyncRAT الخبيث المتاح مجانًا، وهو برنامج سرقة معلومات سهل الحصول عليه يمكنه تسجيل شاشات الضحية وضربات المفاتيح. يُظهر النشاط كيف تخفض GenAI من مستوى مجرمي الإنترنت لإصابة نقاط النهاية.
• حملات الإعلانات الخبيثة التي تؤدي إلى أدوات PDF غير قانونية ولكنها فعالة: أصبحت حملات ChromeLoader أكبر وأكثر صقلًا، وتعتمد على الإعلانات الخبيثة حول كلمات البحث الشائعة لتوجيه الضحايا إلى مواقع ويب مصممة جيدًا تقدم أدوات فعالة مثل قارئات PDF ومحولاتها. تخفي هذه التطبيقات العاملة التعليمات البرمجية الضارة في ملف MSI، بينما تتجاوز شهادات توقيع التعليمات البرمجية الصالحة سياسات أمان Windows وتحذيرات المستخدم، مما يزيد من فرصة الإصابة. يتيح تثبيت هذه التطبيقات المزيفة للمهاجمين السيطرة على متصفحات الضحية وإعادة توجيه عمليات البحث إلى مواقع يسيطر عليها المهاجم.
• هذا الشعار غير مناسب – إخفاء البرامج الضارة في صور Scalable Vector Graphics (SVG): يتحدى بعض مجرمي الإنترنت هذا الاتجاه من خلال التحول من ملفات HTML إلى صور متجهة لتهريب البرامج الضارة. تستخدم الصور المتجهة، المستخدمة على نطاق واسع في التصميم الجرافيكي، تنسيق SVG المستند إلى XML. نظرًا لأن SVGs تفتح تلقائيًا في المتصفحات، يتم تنفيذ أي كود JavaScript مضمن أثناء عرض الصورة. وبينما يعتقد الضحايا أنهم يشاهدون صورة، فإنهم يتفاعلون مع تنسيق ملف معقد يؤدي إلى تثبيت أنواع متعددة من برامج سرقة المعلومات الضارة.
وقال باتريك شليبفر، الباحث الرئيسي في مجال التهديدات في مختبر الأمن التابع لشركة HP: "التكهنات حول استخدام الذكاء الاصطناعي من قبل المهاجمين منتشرة، لكن الأدلة كانت نادرة، لذا فإن هذا الاكتشاف مهم. عادةً ما يفضل المهاجمون إخفاء نواياهم لتجنب الكشف عن أساليبهم، لذا يشير هذا السلوك إلى استخدام مساعد الذكاء الاصطناعي للمساعدة في كتابة التعليمات البرمجية الخاصة بهم. تعمل مثل هذه القدرات على خفض حاجز الدخول أمام الجهات الفاعلة المهددة، مما يسمح للمبتدئين الذين لا يمتلكون مهارات البرمجة بكتابة البرامج النصية وتطوير سلاسل العدوى وشن هجمات أكثر ضررًا".
من خلال عزل التهديدات التي تمكنت من الإفلات من أدوات الكشف على أجهزة الكمبيوتر الشخصية - ولكنها لا تزال تسمح للبرامج الضارة بالانفجار بأمان - تتمتع HP Wolf Security برؤية محددة لأحدث التقنيات التي يستخدمها مجرمو الإنترنت. حتى الآن، قام عملاء HP Wolf Security بالنقر على أكثر من 40 مليار مرفق بريد إلكتروني وصفحات ويب وملفات تم تنزيلها دون الإبلاغ عن أي خروقات.
يتناول التقرير، الذي يتناول بيانات الربع الثاني من عام 2024، بالتفصيل كيف يواصل مجرمو الإنترنت تنويع أساليب الهجوم لتجاوز سياسات الأمان وأدوات الكشف، مثل:
• ما لا يقل عن 12% من تهديدات البريد الإلكتروني التي تم تحديدها بواسطة HP Sure Click تجاوزت ماسحًا واحدًا أو أكثر لبوابة البريد الإلكتروني، وهو نفس المعدل في الربع السابق.
• كانت أهم ناقلات التهديد هي مرفقات البريد الإلكتروني (61%) والتنزيلات من المتصفحات (18%) ونواقل العدوى الأخرى، مثل وحدات التخزين القابلة للإزالة - مثل محركات أقراص USB المحمولة ومشاركات الملفات (21%).
• كانت الأرشيفات هي النوع الأكثر شيوعًا لتوصيل البرامج الضارة (39%)، وكان 26% منها عبارة عن ملفات ZIP.
يقول الدكتور إيان برات، رئيس الأمن العالمي للأنظمة الشخصية في HP: "يقوم الجهات الفاعلة في مجال التهديد بتحديث أساليبها باستمرار، سواء باستخدام الذكاء الاصطناعي لتعزيز الهجمات، أو إنشاء أدوات فعالة ولكنها ضارة لتجاوز الكشف. لذا، يجب على الشركات بناء المرونة، وإغلاق أكبر عدد ممكن من طرق الهجوم الشائعة. يساعد تبني استراتيجية الدفاع المتعمق - بما في ذلك عزل الأنشطة عالية الخطورة مثل فتح مرفقات البريد الإلكتروني أو التنزيلات من الويب - في تقليل سطح الهجوم وتحييد خطر الإصابة".
يقوم برنامج HP Wolf Security بتشغيل مهام محفوفة بالمخاطر في أجهزة افتراضية معزولة يتم فرضها على الأجهزة وتعمل على نقطة النهاية لحماية المستخدمين، دون التأثير على إنتاجيتهم. كما يلتقط أيضًا آثارًا تفصيلية لمحاولات الإصابة بالعدوى.