Die Erkennung von Schadsoftware basiert häufig darauf, verdächtige Verbindungen zu Angreifer-Servern zu identifizieren. Dieser Ansatz wird weniger effektiv, wenn sich bösartiger Datenverkehr in vertrauenswürdigen Diensten verbirgt. Eine neu demonstrierte Technik der KI-Malwarekommunikation zeigt, dass Angreifer Befehle über KI-Chatplattformen statt über klassische Command-and-Control-Infrastruktur austauschen können.
Durch das Verstecken der Aktivität in normalen Webanfragen umgeht die Malware viele Netzwerkalarme.
Wie die Methode funktioniert
Forscher entwickelten ein Proof-of-Concept-Programm, das über eine integrierte Browsersitzung mit einem Online-KI-Assistenten interagiert. Anstatt sich mit einem kriminellen Server zu verbinden, sendet das infizierte System Anfragen an den KI-Dienst.
Der Angreifer platziert codierte Anweisungen auf einer externen Seite. Der KI-Dienst ruft die Inhalte ab und gibt sie in der Antwort zurück. Die Malware extrahiert anschließend lokal die Befehle.
So entsteht ein Relay-Kanal, bei dem die KI-Plattform unwissentlich Nachrichten zwischen Angreifer und Opfer weiterleitet.
Warum die Erkennung schwierig wird
Sicherheitswerkzeuge blockieren üblicherweise bekannte schädliche Domains oder verdächtige IP-Adressen. Diese Methode umgeht solche Schutzmechanismen, da der Datenverkehr zu legitimen Anbietern geht.
Wichtige Merkmale:
Die Kommunikation nutzt vertrauenswürdige Domains
Kein dedizierter Angreifer-Server erforderlich
Standardmäßig verschlüsselter Webverkehr
Aktivität ähnelt normalem Nutzerverhalten
Da viele Organisationen KI-Tools erlauben, wird das Filtern des Verkehrs schwierig, ohne echte Arbeit zu beeinträchtigen.
Datendiebstahl und Fernsteuerung
Über denselben Kanal lassen sich auch gestohlene Informationen übertragen. Die Malware kodiert gesammelte Daten in Anfragen und sendet sie über die KI-Konversation zurück.
Forscher stellten fest, dass selbst gefilterte oder zusammengefasste Antworten noch nutzbare Anweisungen enthalten können. Dadurch bleibt die Technik trotz Inhalts-Sicherheitsmechanismen wirksam.
Sicherheitsauswirkungen
Die Nutzung weit verbreiteter vertrauenswürdiger Dienste als Vermittler erschwert die Incident-Response erheblich. Ermittler können nicht einfach einen einzelnen Server blockieren, um die Kommunikation zu stoppen. Die Angreiferinfrastruktur kann vollständig verborgen bleiben.
Zudem sinkt die Nachverfolgbarkeit, da die Verbindungen identisch zu legitimer Benutzeraktivität erscheinen.
Fazit
Angreifer verlassen sich zunehmend auf vertrauenswürdige Plattformen, um bösartige Aktivitäten zu tarnen. Die KI-Malwarekommunikation zeigt, wie alltägliche Online-Dienste unbeabsichtigt Befehle und gestohlene Daten weiterleiten können.
Zukünftige Abwehrmaßnahmen müssen stärker auf Verhaltensanalyse statt nur auf das Blockieren verdächtiger Ziele setzen, da legitime Dienste inzwischen verdeckten Angriffsdatenverkehr transportieren können.
0 Kommentare zu „KI-Malwarekommunikation versteckt sich in Chatdiensten“