СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.11.2025
#Dev#ИБ#ИИ#Инфра

Вредоносные приложения под видом доставки: ИИ‑обфускация и C2

Недавний анализ выявил волну распространения вредоносных приложений, маскирующихся под легитимные внутренние службы доставки и использующих продвинутые методы сокрытия. Со стороны кажется, что это простая камуфляжная операция, но эксперты отмечают: злоумышленники применяют *обфускацию на основе искусственного интеллекта*, что делает угрозу более адаптивной и трудной для обнаружения традиционными средствами безопасности.

Что обнаружено

По результатам исследования, злоумышленники распространяют приложения, которые внешне имитируют официальные сервисы доставки. При этом вредоносный функционал скрыт с помощью нескольких механизмов, ключевые из которых перечислены ниже.

  • AI-обфускация кода: автоматическое изменение структуры и поведения исполняемого кода для обхода сигнатурного и эвристического детектирования;
  • динамическая модификация реализации: изменение реализации в реальном времени, чтобы препятствовать статическому анализу;
  • зашифрованные каналы связи: скрытие телеметрии и команд через защищённые протоколы, затрудняющие перехват и декодирование;
  • маскировка под легитимный трафик: использование шаблонов коммуникации, характерных для законных служб доставки, что снижает вероятность ручной проверки аналитиками.

Инфраструктура управления: использование скомпрометированных сайтов

Аналитики отмечают, что злоумышленники задействуют скомпрометированные легитимные веб-сайты в роли серверов управления (C2). Это повышает устойчивость кампании: трафик выглядит безобидным, легче проходит сквозь фильтры и вызывает меньше подозрений у систем мониторинга.

«Используя надежные сайты, они могут более скрытно устанавливать связь с заражёнными устройствами, тем самым повышая эффективность и долговечность вредоносного ПО».

Цели злоумышленников и последствия для пользователей

Основная цель атак — извлечение конфиденциальной информации пользователей, включая финансовые и личные данные. Успешная компрометация может привести к финансовым потерям, утечкам персональных данных и дальнейшим целенаправленным атакам.

Почему это опасно для систем безопасности

  • AI-обфускация делает сигнатурные и многие эвристические механизмы менее эффективными;
  • использование легитимных сайтов в роли C2 усложняет обнаружение и блокировку инфраструктуры;
  • динамические и зашифрованные каналы связи снижают возможности для постфактумного анализа и атрибуции;
  • маскировка под известные сервисы увеличивает вероятность того, что вредоносное ПО останется незамеченным длительное время.

Рекомендации для защиты

  • усилить мониторинг поведенческих индикаторов на конечных устройствах, а не полагаться исключительно на сигнатуры;
  • внедрять анализ сетевого трафика с учётом контекстных аномалий, а не только перечня доменов;
  • регулярно проверять целостность и репутацию партнерских и третьесторонних сайтов, чтобы обнаруживать их компрометацию;
  • использовать многослойную систему защиты: EDR, NGFW, DLP и аналитические платформы, способные адаптироваться под динамику угроз;
  • повышать осведомлённость пользователей: проверять подлинность приложений служб доставки и ограничивать установку программ из неофициальных источников.

Вывод

Тенденция использования искусственного интеллекта при разработке вредоносного ПО указывает на этап перехода к более сложным и адаптивным угрозам. Сообщество по кибербезопасности должно реагировать на этот вызов, адаптируя методы детектирования и защиты, усиливая мониторинг и обмен информацией о новых методах уклонения. Без этого риск масштабных компрометаций с серьёзными последствиями для частных лиц и организаций будет только расти.

Короткий итог: вредоносные приложения, маскирующиеся под службы доставки, используют AI-обфускацию и скомпрометированные сайты как C2, что требует пересмотра традиционных подходов к защите и усиления взаимодействия в индустрии информационной безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: