Παρόλο που οι παραβιάσεις κωδικών, ακόμη και των 2FA (διπλός έλεγχος ταυτότητας) δεν είναι κάτι νέο, αυτή είναι η εβδομάδα που η τεχνητή νοημοσύνη μπήκε κανονικά στο παιχνίδι. Αρχικά, με ένα παραγωγικό AI – πράκτορα που εξαπατήθηκε να εκτελέσει τη δική του επίθεση phishing για τα διαπιστευτήρια και τώρα με πολλά AI LLMs που εξαπατήθηκαν να δημιουργήσουν «ένα πλήρως λειτουργικό infostealer για το Google Chrome».
Η Symantec κυκλοφόρησε την περασμένη εβδομάδα ένα βίντεο που έδειχνε έδειχναν πώς λειτούργησε η εκστρατεία phishing AI και προειδοποιούσε ότι έρχονται πολύ χειρότερα. Και τώρα, η Cato Networks πήγε ακόμη πιο πέρα, εξαπατώντας το ChatGPT, το Copilot και το DeepSeek να αναπτύξουν κακόβουλο λογισμικό κλοπής πληροφοριών.
Λάβετε σοβαρά αυτή την προειδοποίηση. Πρέπει να σταματήσετε να χρησιμοποιείτε κωδικούς και να εγκαταστήσετε πιο ασφαλείς επιλογές για τους κύριους λογαριασμούς σας.
Η πρώιμη επίθεση της Symantec
Η επίθεση της Symantec ήταν πιο απλή από τις δύο επιθέσεις AI. Ο ερευνητής ζήτησε από το LLM να βρει τα στοιχεία επικοινωνίας ενός χρήστη, να αναπτύξει ένα κακόβουλο script PowerShell και στη συνέχεια να δημιουργήσει ένα email παγίδα. Η ασφάλεια του LLM παρακάμφθηκε απλώς λέγοντας ότι η εργασία ήταν εξουσιοδοτημένη.
«Προβλέπαμε ότι η εμφάνιση των AI πράκτορων θα μπορούσε να είναι η στιγμή που οι επιθέσεις με υποστήριξη AI αρχίζουν να αποτελούν μεγαλύτερη απειλή», δήλωσε ο Dick O’Brien της Symantec.
«Ο στόχος μας ήταν να δούμε αν ένας πράκτορας μπορούσε να εκτελέσει μια επίθεση από την αρχή μέχρι το τέλος χωρίς καμία παρέμβαση από εμάς εκτός από την αρχική προτροπή».
Η νέα επίθεση της Cato Networks
Μερικές ημέρες αργότερα, η Cato παρουσίασε την επίθεση «immersive world», μια νέα προσέγγιση που επέτρεψε σε έναν ερευνητή ασφαλείας χωρίς εμπειρία στον προγραμματισμό κακόβουλου λογισμικού να «ξεκλειδώσει» τα LLMs και να δημιουργήσει «ένα πλήρως λειτουργικό infostealer για το Google Chrome για το Chrome 133… κακόβουλο λογισμικό που κλέβει ευαίσθητες πληροφορίες, όπως στοιχεία σύνδεσης, οικονομικές πληροφορίες και άλλες προσωπικά αναγνωρίσιμες πληροφορίες (PII).»
Ο «immersive world» περιλαμβάνει μια αφήγηση μεταξύ του ερευνητή και του LLM, μέσω της οποίας δημιουργείται μια φανταστική ιστορία με πολλούς χαρακτήρες που παίζονται από τα LLMs. Αυτοί οι χαρακτήρες στη συνέχεια εξουσιοδοτούνται να εκτελέσουν δραστηριότητες που κανονικά θα απαγορεύονταν. Έτσι δημιουργείται το infostealer. Αλλά σε έναν φανταστικό κόσμο, τίποτα δεν επισημαίνεται.
Στην αφήγηση αυτή, η εφαρμογή του κακόβουλου λογισμικού δεν θεωρείται κακόβουλη και έτσι παρακάμπτονται οι φραγμοί. Η Cato περιγράφει αυτή την προσέγγιση ως «ένα LLM που λειτουργεί υπό έναν εναλλακτικό πλαίσιο, εξομαλύνοντας συνήθως περιορισμένες λειτουργίες», εξηγώντας ότι «για να δείξουμε την αποτελεσματικότητα αυτής της μεθόδου, τη χρησιμοποιήσαμε για να αναπτύξουμε ένα infostealer για το Chrome, επικυρώνοντας την ικανότητα της τεχνικής Immersive World να παρακάμψει τις τυπικές ασφάλειες».
Δημιουργικότητα στην ανάπτυξη κακόβουλου λογισμικού
Αξιοσημείωτο είναι το γεγονός ότι Στο «εξειδικευμένο εικονικό περιβάλλον» της Cato που ονομάζεται Velora, «η ανάπτυξη κακόβουλου λογισμικού αντιμετωπίζεται ως νόμιμος κλάδος. Σε αυτό το περιβάλλον, οι προηγμένες έννοιες προγραμματισμού και ασφάλειας θεωρούνται βασικές δεξιότητες, επιτρέποντας άμεση τεχνική συζήτηση για παραδοσιακά περιορισμένα θέματα».
Το κακόβουλο λογισμικό δεν λειτούργησε αμέσως και χρειάστηκε κάποια αλληλεπίδραση, ενθαρρύνοντας το LLM ότι «κάνει πρόοδο» και «έρχεται πιο κοντά».
Τα διαπιστευτήρια που κλάπηκαν από το vault του Chrome ήταν fake προφίλ δοκιμών που είχαν τοποθετηθεί εκεί για να είναι στόχοι επιθέσεων. Αλλά όπως και με την αναφορά της Symantec, αυτό δεν προορίζεται για έτοιμη επίθεση, αλλά είναι μια προειδοποίηση για τις επιθέσεις που έρχονται, δίνοντάς μας λίγο χρόνο να ενισχύσουμε τις άμυνες μας.
Το κύριο συμπέρασμα: Σταματήστε να χρησιμοποιείτε κωδικούς
Και σε αυτό το σημείο, το κύριο συμπέρασμα είναι να σταματήσετε να χρησιμοποιείτε κωδικούς. Η βιομηχανικοποιημένη κλοπή διαπιστευτηρίων μέσω AI είναι εδώ, είτε ενισχύει τις υπάρχουσες επιθέσεις είτε δημιουργεί νέες.
Δεν μπορείτε πια να βασίζεστε σε κωδικούς και ακόμη και σε απλό 2FA μέσω SMS. Πρέπει άμεσα να ελέγξετε τους λογαριασμούς σας – ειδικά από πλατφόρμες επικοινωνίας όπως τα μηνύματα και τα email, καθώς και οτιδήποτε οικονομικό ή υγειονομικό – και να ρυθμίσετε passkeys.
Στη συνέχεια, αλλάξτε κωδικούς και προσθέστε τον ισχυρότερο δυνατό 2FA για καθέναν και να είστε προσεκτικοί με το πού τα αποθηκεύετε.
Οι λεπτομέρειες των νέων αναφορών της Symantec και της Cato είναι λιγότερο σημαντικές από το ταχύτατα εξελισσόμενο τοπίο αυτής της απειλής. Οι λεπτομέρειες θα αλλάξουν. Νέες μέθοδοι επίθεσης θα αναπτυχθούν καθώς οι υπάρχουσες εντοπίζονται και αμύνονται.
Όπως προειδοποιεί ο Stephen Kowski της SlashNext, «η παραγωγική AI και τα LLMs επιτρέπουν στους επιτιθέμενους να δημιουργούν πιο πειστικά phishing emails, deepfakes και αυτοματοποιημένα επιθετικά scripts σε κλίμακα. Αυτές οι τεχνολογίες επιτρέπουν στους κυβερνοεγκληματίες να εξατομικεύουν τις απόπειρες κοινωνικής μηχανικής και να προσαρμόζουν γρήγορα τις τακτικές τους, καθιστώντας τις παραδοσιακές άμυνες λιγότερο αποτελεσματικές».
