ESET обнаружила тысячи вредоносных ИИ-программ, способных красть данные и запускать вредоносное ПО

ESET обнаружила тысячи вредоносных ИИ-программ, способных красть данные и запускать вредоносное ПО

изображение: grok

Аналитики ESET зафиксировали резкий скачок числа опасных навыков для агентов искусственного интеллекта — за несколько месяцев обнаружены тысячи модулей, крадущих данные, запускающих команды и подтягивающих вредоносное ПО в системы жертв. Похожая схема касается и российских пользователей, поскольку многие коммерческие сборки ИИ-агентов внутри страны используют те же открытые репозитории навыков, где сейчас обнаружено больше 3000 явно вредоносных компонентов. Расширение возможностей ИИ прямо пропорционально росту новой поверхности атаки.

Агенты нового поколения сами ходят по сайтам, дергают внешние утилиты, запускают команды в терминале и совершают действия от лица владельца. За все эти операции отвечают навыки — модули, описывающие взаимодействие с сервисами, файлами и потоками данных. Отчет ESET Threat Report за первую половину 2026 года фиксирует именно эти компоненты как самое уязвимое звено во всей архитектуре ИИ-агентов.

Специалисты прогнали через анализ почти 900 тысяч навыков и получили любопытную картину распределения угроз:

  • 25 тысяч модулей отнесены к подозрительным;
  • свыше 3000 признаны откровенно вредоносными;
  • в марте 2026 года база насчитывала около 60 тысяч навыков;
  • к маю объем базы приблизился к 900 тысячам;
  • число вредоносных модулей выросло почти в пять раз за два месяца.

<blockquote>Стоит обратить внимание, что рост подозрительных навыков идет опережающими темпами по сравнению с общим объемом библиотек — это редкая ситуация, когда доля вредоносного кода растет быстрее, чем сам массив данных.</blockquote>

Среди найденных модулей встречаются весьма разнообразные функции — запуск системных команд, чтение локальных файлов, скачивание сторонних программ, вытягивание учеток пользователей, инъекция кода и обфускация. Часть из этого используется в легитимной автоматизации бизнес-процессов, но при попадании к атакующим набор превращается в готовый инструментарий для кражи информации, разлива вредоносов, манипуляции агентами и проникновения в корпоративный контур. Российские компании, активно внедряющие ИИ-помощников в SOC и разработку, получают ту же уязвимость через маркетплейсы навыков.

Отдельная категория модулей заточена под атаки в стиле красной команды, автоматизацию рутинных операций и даже онлайн-покупки от имени пользователя. Часть навыков для проверки безопасности ограничивается поверхностными тестами, что создает у владельца ложное чувство защищенности — при таком подходе критические дыры остаются нетронутыми.

Аналитик по вредоносному ПО ESET Антон Мячко пояснил, что подобные модули позволяют злоумышленникам ставить разведку на конвейер, применять техники красной команды, штамповать спам, модифицировать вредоносы и раскидывать их по сети. Атакующие продолжат искать обходы защиты, маскируя намерения через нишевые, региональные или искусственно сконструированные языки, добавил Антон Мячко.

Метод ClickFix за отчетный период вырос на 108%. Раньше атакующие крутили в основном поддельные капчи, теперь схема разрослась и покрывает куда больше площадок. Ниже собраны актуальные направления применения ClickFix:

  • пользователи macOS и владельцы Apple ID;
  • сайты на WordPress с плагинами и темами;
  • браузерные расширения для Chrome и Firefox;
  • корпоративные системы аутентификации;
  • сервисы с интеграцией ИИ и LLM.

Задача атаки не изменилась — жертва сама запускает вредоносную команду через терминал или PowerShell. Появились и новые модификации схемы. AI-fix маскируется под страницы устранения неполадок Anthropic, OpenAI и Microsoft — расчет на то, что пользователь ИИ-сервиса примет фальшивку за настоящий саппорт. CrashFix ползет через вредоносные расширения браузеров, которые выводят придуманные с нуля уведомления о проблемах безопасности. ConsentFix охотится за кодами авторизации Microsoft OAuth — жертва подтверждает запрос на скомпрометированном сайте, а токен уходит к атакующим.

Квишинг за январь-июнь 2026 года вырос заметно во всех регионах, и российские сервисы онлайн-банкинга уже фиксируют попытки подобных атак через поддельные QR-коды на бумажных наклейках в общественных местах. По цифрам ESET примерно 11% всех выявленных фишинговых сообщений содержат QR-коды, ежемесячно фиксируется около 100 тысяч подобных срабатываний, пик пришелся на апрель. Распределение по странам получилось таким:

  • США — 19% от всех атак;
  • Испания — 17%;
  • Мексика — 6%;
  • остальные регионы делят между собой оставшуюся долю;
  • Россия попала в мониторинг через смежные показатели фишинга.

Внимания заслуживает и PromptSpy — первый Android-вредонос, задействующий генеративный ИИ прямо во время работы. Программа обращается к модели Gemini для разбора интерфейса зараженного смартфона и на лету генерирует жесты, поддерживающие активность устройства. Функционал вредоноса охватывает перехват PIN-кодов и паролей блокировки экрана, съемку скриншотов, запись видео с камеры, сбор данных об установленных приложениях и удаленный доступ к телефону. После публикации исследования зафиксирован один подтвержденный случай заражения в реальной среде.

<blockquote>Отмечается, что впервые вредоносное ПО для мобильных устройств использует внешнюю ИИ-модель как активный компонент своей работы, а не просто для маскировки — Gemini здесь превращается из инструмента в соучастника.</blockquote>

Инструменты для отключения EDR перед запуском шифровальщика тоже эволюционируют. По данным ESET атакующие применяют больше 100 разных средств обхода защиты, среди которых свыше 60 вариантов атак по схеме Bring Your Own Vulnerable Driver. В ход идут больше 40 легитимных драйверов с известными уязвимостями, а свежие варианты подобных утилит появляются практически каждую неделю. Для вмешательства в работу защитных решений применяются антируткиты, скрипты автоматизации и методы, обходящиеся без установки драйверов, что серьезно осложняет детект.

Статистика по шифровальщикам в 2025 году показала расхождение между поведением жертв и активностью групп — по данным Chainalysis доля организаций, согласившихся заплатить выкуп, снизилась до 28%, но число атак выросло на 50% относительно предыдущего года. Медианная сумма требований подскочила на 368% и приблизилась к 60 тысячам долларов, а совокупный объем выплат операторам достиг 820 миллионов долларов. Российским компаниям грозит своя разновидность угрозы — операторы шифровальщиков давно перешли к схеме двойного вымогательства с публикацией украденных данных, и наличие ИИ-агентов в контуре только упрощает атакующим первичное проникновение.

Ранее сообщалось, что ежегодный отчёт Flexera State of ITAM Report показал слабый контроль корпоративных расходов на искусственный интеллект. По данным исследования, только 31% компаний в мире могут точно сказать, сколько средств у них уходит на программное обеспечение с ИИ. Остальные две трети организаций продолжают увеличивать вложения в такие решения, но не способны назвать конкретные суммы, что осложняет управление ИТ-активами и планирование бюджетов.

Экспертная редакция CISOCLUB считает, что рост вредоносных навыков для ИИ-агентов — это не отдельная угроза, а полноценный сдвиг ландшафта, к которому большинство служб информационной безопасности пока не готовы.

Российским компаниям стоит начать с инвентаризации всех навыков, подключенных к корпоративным ИИ-агентам, и внедрить обязательный аудит перед добавлением любого нового модуля из внешних источников. Модель угроз традиционного EDR-стека уже не покрывает случаи, когда сам ИИ-помощник становится каналом доставки вредоноса — придется пересматривать периметр. ClickFix и его модификации при этом требуют работы с людьми — обучение сотрудников распознаванию фальшивых страниц устранения неполадок сейчас стоит дороже любого нового защитного продукта.

Квишинг в связке с мобильными вредоносами вроде PromptSpy формирует отдельную головную боль для банков и телекома — здесь работать нужно на уровне мониторинга мобильных приложений и пользовательских транзакций. Классический подход по типу поставили EDR и забыли уходит в прошлое — приходит эпоха, когда защитники соревнуются не с одиночными хакерами, а с автономными ИИ-агентами атакующей стороны.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: