Friss
AI hozza létre a megtévesztő weboldalakat az új trójai kártevőkhöz
Bár egyesek szerint a trójai falónak álcázott, és így hasznosnak tűnő, de valójában fertőzött segédprogramok mindig is jelen voltak, az elmúlt években viszonylag ritkán találkozhattunk velük. A G DATA most a visszatérésükre figyelmeztet, aminek az oka, hogy a bűnözők mesterséges intelligencia segítségével hoznak létre megtévesztő weboldalakat, és egy AI motornak nem probléma néhány száz recept vagy barkácsötlet generálása.
Egy óvatos felhasználó tudhatja, hogyan néznek ki általában a gyanús weboldalak, és nem tölt le kalózszoftvereket, nem futtat kétes fájlokat. Ha egy fájl eredetében bizonytalan, még a VirusTotal.com-on is ellenőrzi, mielőtt megnyitja.
De ha egyben kíváncsi természetű is, akkor néha kipróbál új alkalmazásokat, amelyek megkönnyítik az életét. Például rátalál egy receptes oldalra, és szívesen kipróbál néhányat. Aztán eszébe jut egy régi balatoni nyaralás, és keres egy AI-alapú képjavító weboldalt, hogy a régi fotókat feljavítsa. És ekkor jön Jacky – egy fiatal, kedves rajzolt női figura, aki más barkácsötletek mellett azt is megmondja, hogyan javítsa meg a fürdőszobaajtó kilincsét.
A fent említett weboldalak valóban léteznek, és mind profin néznek ki. Nincsenek rajtuk helyesírási hibák, de van „Rólunk”, „Adatvédelem” és „Felhasználási feltételek” menüpontjuk – semmi nem tűnik gyanúsnak első látásra. A receptoldalon több száz recept található meg, a barkácsötleteket adó AI-segéd pedig valóban hasznos ötletekkel szolgál. Ilyen esetben a felhasználók jelentős része kedvet érez, hogy az ingyenesen elérhető asztali alkalmazást is letöltse, hogy még könnyebben tudjon keresni a gyűjteményekben. Mivel a VirusTotal sem jelez veszélyt a letöltött alkalmazásokra, az óvatosság, ami évekig megvédett, itt már nem működik.
Barkács Jacky például a háttérben ütemezett feladatot hoz létre, amely naponta többször is futtatja a kódját, és ugyanarról a szerverről, ahonnan a tanácsokat kapod, titkos utasításokat is lehív. A receptes app tényleg recepteket tölt le – de a szövegben elrejtett láthatatlan karakterek parancsokat hajtanak végre. Az AI-képfelismerő pedig a fotóért cserébe hozzáférést ad a géphez a támadóknak.
A G DATA arra figyelmeztet, hogy ezek már nem elszigetelt esetek – ez egy teljes értékű trójai faló reneszánsz.
Mi változott?
A „trójai” szó a kiberbiztonságban sokszor mást jelent: lehet bármilyen nem önszaporító kártevő, megtévesztő fájl, vagy akár a malware szinonimája. A klasszikus értelemben vett trójai faló viszont egy hasznos programba ágyazott kártékony kód, ami a hasznos funkció nélkül nem létezhet. Az elmúlt 10-15 évben ezek ritkábbak voltak, helyettük inkább harmadik féltől származó „összecsomagolók” jelentek meg. Most azonban a mesterséges intelligencia mindent megváltoztatott.
MI és vírusirtó-kijátszás
A támadók eddig is használták a VirusTotalhoz hasonló rendszereket a felismerés elkerülésére. A VT szkennerei főleg statikus elemzést végeznek, így egy új kártékony kód gyakran átcsúszik rajtuk. Korábban a felismerés után ehhez a teljes kód újraírására volt szükség, ami sok munka a bűnözők számára – most viszont a mesterséges intelligencia percek alatt előállít egy új, ismeretlen kódrészletet.
Az AI motorok ráadásul nemcsak a kódot generálják le, hanem segítenek profi, megbízhatónak tűnő weboldalakat és alkalmazásokat készíteni, amelyek megtévesztik a felhasználókat és az alap szkennereket is.
Az említett példákban közös, hogy mindhárom weboldal jobb felső sarkában ott van egy letölthető alkalmazás linkje – és a letölthető alkalmazás egy látszólag hasznos segédprogram, de valójában trójai falóként működve a háttérben kártékony folyamatokat futtat.
Mi a megoldás?
Régóta ismert, hogy a hagyományos, statikus vírusdefiníciók nem elegendők a felismerésre. Ha a VirusTotal nem ismer fel egy fájlt kártékonynak, az önmagában még nem jelenti azt, hogy a fájl biztonságosan megnyitható.
Ilyenkor a gépre telepített vírusvédelem viselkedésalapú, kontextusérzékeny és dinamikus elemzése adhat védelmet. A JustAskJacky például azzal bukhat le, hogy véletlenszerű időközönként futtat feladatokat a háttérben – ezeket a telepített vírusvédelem felismerheti.
A felhasználóknak pedig tudniuk kell: a „józan paraszti ész” és a gyanús jelek figyelése már nem mindig elég, mivel a támadók mesterséges intelligenciát használnak a hitelesség látszatának megteremtésére. Ezért érdemes például a keresőkben, fórumokon is tájékozódni egy-egy alkalmazásról, és a frissített vírusvédelem használata is ajánlott.