ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — отчет Google Threat Intelligence Group об использовании инструментов ИИ злоумышленниками, использование расширения VS Code для программ-вымогателей, возобновление активности Gootloader, фишинговая кампания на взломанные аккаунты Booking.com, новая техника атаки «Whisper Leak».

GTIG опубликовали отчет об использовании инструментов ИИ злоумышленниками

Согласно отчету Google Threat Intelligence Group, злоумышленники начали интегрировать искусственный интеллект непосредственно в код вредоносов.

GTIG идентифицировали вредоносное ПО PROMPTFLUX и PROMPTSTEAL, использующее большие языковые модели (LLM) в процессе выполнения. Они динамически генерируют вредоносные скрипты, обфусцируют собственный код для уклонения от обнаружения и используют ИИ-модели для создания вредоносных функций по запросу, вместо того чтобы встраивать их в код заранее. Также злоумышленники всё чаще используют социальную инженерию при создании запросов к ИИ для более эффективной генерации вредоносного кода.

Для защиты рекомендуется использовать инструменты поведенческого анализа и отказываться от слепого исполнения команд, сгенерированных внешними ИИ-моделями.

Использование расширения VS Code для программ-вымогателей

Специалисты компании Pulsedive изучили цепочку заражения, используемую северокорейской группировкой Kimsuky.

Атака начинается с JS-файла Themes.js. При его запуске скрипт декодирует и извлекает вредоносную нагрузку в файловой системе жертвы. На следующем этапе дроппер загружает ZIP-архив, содержащий исполняемый файл, который маскируется под легитимный компонент. Для успешного сохранения в системе вредонос регистрирует задачу в планировщике Windows, что позволяет ему закрепиться при перезагрузке системы. Этот многоступенчатый