Киберпреступники в ходе кибератак теперь используют искусственный интеллект в качестве штатного инструмента, к которому регулярно производятся обращения со стороны вредоносного ПО. Об этом сообщают эксперты Google Threat Intelligence Group.

Исследователи в области кибербезопасности из компании Google обратили внимание на то, что некоторые семейства вредоносного ПО совершают прямые вызовы к ИИ-помощнику Gemini при совершении кибератак. Вредоносы динамически направляют запросы на генерацию кода у модели при выполнении определенных задач, что позволяет не включать соответствующие фрагменты в основной код. Например, вредоносы семейства HONESTCUE отправляли запросы на генерацию кода C#, который выполнялся в цепочке атак. Логика выносится за пределы статического бинарного файла, что усложняет традиционные методы обнаружения по сигнатурам или поведенческим индикаторам.

Также используется еще один тип атак — попытки копирования моделей ИИ через дистилляцию. Злоумышленники отправляют моделям большие объемы структурированных запросов, чтобы скопировать ее поведение, шаблоны ответов и внутреннюю логику. Систематически анализируя выходные данные, злоумышленники с некоторой точностью воспроизводят возможности закрытых ИИ-моделей, обучая альтернативные системы и не неся при этом затрат на разработку и инфраструктуру, связанных с разработкой с нуля. Google удалось выявить некоторые кампании, связанные с большими объемами запросов, направленных на извлечение знаний из моделей Gemini.

Кроме того, ИИ активно используется в разведке, изучении уязвимостей, разработке скриптов и генерации фишингового контента. Модели генеративного ИИ оказываются полезными в создании убедительных приманок, отладке фрагментов вредоносного кода и ускорении технических исследований против целевых систем. Киберпреступники также изучают возможности агентного ИИ — он может разрабатываться для выполнения многоэтапных задач с минимальным участием человека, то есть будущие вредоносы, вероятно, получат элементы самостоятельного принятия решений.