СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Артем
20 февраля
#ИБ#ИИ

Check Point: ИИ-платформы могут использоваться как скрытый канал управления вредоносным ПО

Check Point: ИИ-платформы могут использоваться как скрытый канал управления вредоносным ПО

Компания Check Point опубликовала исследование, в котором показала, что современные ИИ-ассистенты с функцией просмотра веб-страниц могут быть задействованы в схемах скрытого управления вредоносным кодом. Речь идёт о сервисах уровня Grok и Microsoft Copilot, способных получать URL-адреса и обрабатывать веб-контент.

По данным аналитиков, злоумышленники теоретически могут использовать такие ИИ-платформы, как промежуточное звено между сервером управления и контроля (C2) и заражённой машиной. Вместо прямого соединения с инфраструктурой атакующего вредоносная программа обращается к доверенному ИИ-сервису, который извлекает данные с внешнего ресурса и возвращает их в виде ответа.

В рамках эксперимента специалисты Check Point разработали прототип, демонстрирующий принцип работы подобной схемы, и передали результаты исследования компаниям Microsoft и xAI. Целью было показать, как доверенные ИИ-интерфейсы могут стать ретранслятором команд.

В описанном сценарии вредоносное ПО не подключается напрямую к серверу C2. Вместо этого оно взаимодействует с веб-интерфейсом ИИ и передаёт ему инструкцию получить информацию с URL-адреса, контролируемого атакующим. Ответ, полученный от ИИ, возвращается в выходных данных чата и анализируется вредоносной программой.

Для реализации взаимодействия исследователи использовали компонент WebView2 в Windows 11. Этот механизм позволяет встраивать веб-контент в интерфейс настольного приложения без запуска полноценного браузера. В отчёте отмечается, что при отсутствии WebView2 в системе злоумышленник может добавить его в состав вредоносного кода.

Прототип представлял собой программу на C++, открывающую WebView с указанием на Grok или Copilot. Через этот интерфейс атакующий передавал инструкции, которые могли содержать команды для выполнения либо указания по извлечению данных с заражённого устройства.

Сценарий взаимодействия строится следующим образом. Веб-страница, управляемая злоумышленником, содержит скрытые инструкции. ИИ-ассистент загружает страницу, обрабатывает содержимое и формирует ответ в виде текста чата. Вредоносная программа анализирует этот ответ, извлекая из него команды. Таким образом создаётся двусторонний канал обмена.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: