Oppdagelse av skadevare bygger ofte på å finne mistenkelige forbindelser til angriperservere. Den metoden blir mindre effektiv når trafikken blander seg med betrodde tjenester. En ny demonstrert teknikk for AI-malwarekommunikasjon viser hvordan angripere kan utveksle kommandoer via AI-chatplattformer i stedet for tradisjonell kommando-og-kontroll-infrastruktur.
Ved å skjule aktiviteten i vanlige webforespørsler unngår skadevaren mange nettverksalarmer.
Hvordan metoden fungerer
Forskere laget et proof-of-concept-program som samhandler med en nettbasert AI-assistent gjennom en innebygd nettlesersesjon. I stedet for å koble til en kriminell server sender den infiserte maskinen forespørsler til AI-tjenesten.
Angriperen legger kodede instruksjoner på en ekstern side. AI-tjenesten henter innholdet og returnerer det i svaret. Skadevaren henter deretter kommandoene lokalt.
Dette skaper en relékanal der AI-plattformen uvitende videreformidler meldinger mellom angriper og offer.
Hvorfor oppdagelse blir vanskelig
Sikkerhetsverktøy blokkerer vanligvis kjente skadelige domener eller mistenkelige IP-adresser. Denne metoden omgår beskyttelsen fordi trafikken går til legitime leverandører.
Viktige kjennetegn:
Kommunikasjonen bruker betrodde domener
Ingen dedikert angriperserver kreves
Standard kryptert webtrafikk
Aktiviteten ligner normal brukeradferd
Siden mange organisasjoner tillater AI-verktøy, blir det vanskelig å filtrere trafikken uten å stoppe reelt arbeid.
Datatyveri og fjernstyring
Den samme kanalen kan også overføre stjålet informasjon. Skadevaren koder innsamlede data i forespørsler og sender dem tilbake gjennom AI-samtalen.
Forskere bemerket at selv filtrerte eller oppsummerte svar fortsatt kan inneholde brukbare instruksjoner. Dermed fungerer teknikken til tross for innholdssikkerhetsmekanismer.
Sikkerhetsmessige konsekvenser
Bruk av allment betrodde tjenester som mellomledd kompliserer hendelseshåndtering. Etterforskere kan ikke bare blokkere én server for å stoppe kommunikasjonen. Angriperens infrastruktur kan forbli helt skjult.
Metoden reduserer også sporbarheten fordi forbindelsene ser identiske ut med legitim brukeraktivitet.
Konklusjon
Angripere benytter i økende grad betrodde plattformer for å skjule skadelig aktivitet. AI-malwarekommunikasjon viser hvordan vanlige nettjenester utilsiktet kan videreformidle kommandoer og stjålne data.
Fremtidige forsvar må fokusere mer på atferdsanalyse fremfor kun blokkering av mistenkelige destinasjoner, siden legitime tjenester nå kan bære skjult angrepstrafikk.
0 responses to “AI-malwarekommunikasjon skjuler seg i chattjenester”