Upptäckt av skadlig kod bygger ofta på att identifiera misstänkta anslutningar till angriparservrar. Den metoden blir mindre effektiv när trafiken smälter in i betrodda tjänster. En ny demonstrerad teknik för AI-malwarekommunikation visar hur angripare kan utbyta kommandon via AI-chattplattformar i stället för traditionell kommando-och-kontroll-infrastruktur.
Genom att dölja aktiviteten i normala webbförfrågningar undviker skadlig kod många nätverkslarm.
Hur metoden fungerar
Forskare skapade ett proof-of-concept-program som interagerar med en online-AI-assistent via en inbyggd webbläsarsession. I stället för att ansluta till en kriminell server skickar den infekterade datorn uppmaningar till AI-tjänsten.
Angriparen placerar kodade instruktioner på en extern sida. AI-tjänsten hämtar innehållet och returnerar det i svaret. Skadlig kod extraherar sedan kommandona lokalt.
Detta skapar en reläkanal där AI-plattformen omedvetet förmedlar meddelanden mellan angripare och offer.
Varför upptäckt blir svår
Säkerhetsverktyg blockerar vanligtvis kända skadliga domäner eller misstänkta IP-adresser. Denna metod kringgår skydden eftersom trafiken går till legitima leverantörer.
Viktiga egenskaper:
Kommunikationen använder betrodda domäner
Ingen dedikerad angriparserver krävs
Standardkrypterad webbtrafik
Aktiviteten liknar normalt användarbeteende
Eftersom många organisationer tillåter AI-verktyg blir det svårt att filtrera trafiken utan att stoppa verkligt arbete.
Datastöld och fjärrstyrning
Samma kanal kan även överföra stulen information. Skadlig kod kodar insamlad data i uppmaningar och skickar tillbaka den genom AI-konversationen.
Forskare noterade att även filtrerade eller sammanfattade svar fortfarande kan bära användbara instruktioner. Därför fungerar tekniken trots säkerhetsmekanismer för innehåll.
Säkerhetskonsekvenser
Att använda allmänt betrodda tjänster som mellanhand försvårar incidenthantering. Utredare kan inte bara blockera en enskild server för att stoppa kommunikationen. Angriparens infrastruktur kan förbli helt dold.
Metoden minskar också spårbarheten eftersom anslutningar ser identiska ut med legitim användning.
Slutsats
Angripare förlitar sig allt mer på betrodda plattformar för att dölja skadligt beteende. Tekniken för AI-malwarekommunikation visar hur vanliga onlinetjänster oavsiktligt kan vidarebefordra instruktioner och stulen data.
Framtida försvar måste fokusera mer på beteendeanalys än enbart blockering av misstänkta destinationer, eftersom legitima tjänster nu kan bära dold angreppstrafik.
0 svar till ”AI-malwarekommunikation döljs i chattjänster”