Copilot і Grok можна використовувати як проксі-сервери для шкідливого ПЗ — дослідження

Дослідницька компанія Check Point виявила, що деякі чат-боти, які підтримують перегляд веб-сторінок або отримання URL-адрес, можуть бути використані як проксі-сервери для прихованої передачі команд та управління (C2), кінцевою метою яких є проникнення в корпоративні мережі. Про це повідомляє The Hacker News.

Метод проникнення був продемонстрований на таких платформах, як Grok та Microsoft Copilot, де хакери використовують анонімний веб-доступ до чат-боту в поєднанні із запитами. 

Суть проблеми в тому, що Grok та Microsoft Copilot підтримують можливість перегляду веб-сторінок та отримання URL-адрес. Це використовується для видачі URL-адрес, контрольованих зловмисниками, та повернення відповідей через їхні веб-інтерфейси. Тобто, чат-бот фактично перетворюється на двонаправлений канал зв’язку для прийняття команд, виданих оператором, та тунелювання даних жертви.

Цей механізм також може бути використаний для створення робочих процесів розвідки, написання скриптів дій зловмисника та вирішення напрямків «що робити далі» після проникнення в корпоративну мережу.

Примітно, що передача URL-адрес працює без необхідності ключа API або зареєстрованого облікового запису, що робить традиційні підходи, такі як скасування ключа або призупинення дії облікового запису, марними.

Дослідники відмічають, що зловмисники тепер можуть застосовувати системи штучного інтелекту не лише для масштабування або прискорення різних фаз циклу кібератаки, але й для використання API для динамічної генерації коду під час виконання, для адаптації поведінки на основі інформації, зібраної від скомпрометованого хоста, та уникнення виявлення.

За словами фахівців Check Point, зараз відбувається еволюція в розробці шкідливого програмного забезпечення, де імплантати переходять від статичної логіки до керованої підказками штучного інтелекту адаптивної поведінки, яка дозволяє автономно планувати операції, визначати пріоритети цілей і даних, а також коригувати тактику в режимі реального часу на основі зворотного зв’язку.

Нагадаємо, що підшукуючи жертв серед розробників, хакери часто маскуються під рекрутерів.

Підписуйтесь на нас у соцмережах: Telegram | Facebook | LinkedIn