这个新的PowerShell恶意软件看起来像是由AI编写的

Proofpoint声称已经发现了黑客如何利用生成式人工智能快速高效地创建恶意代码的证据。

该公司的研究人员发布了一份关于TA547的新报告，TA547是一个出于经济动机的威胁行为者，通常作为初始访问经纪人(IAB)运作，从受害者那里获取登录凭据，然后在暗网上将其出售给最高出价者。

该组织最近开始针对德国组织开展电子邮件网络钓鱼活动，传播Rhadamanthys恶意软件。在该活动中，他们冒充德国零售公司Metro，并发送与发票相关的消息。这些电子邮件将携带受密码保护的ZIP文件，如果执行该文件，则会触发PowerShell运行远程PowerShell脚本。

该脚本解码了存储在变量中的Rhadamanthys恶意软件，并将其直接加载到内存中。研究人员认为这个脚本也可能是由生成式人工智能编写的。

显然，PowerShell脚本在脚本的每个组件上方包含一个井号，后面是语法正确且超具体的注释，这是“LLM生成的编码内容的典型输出”。

研究人员进一步解释说，这不会改变防御方面的任何事情。针对这些威胁的机制保持不变。

TA547已经活跃了几年，通常提供NetSupportRAT。然而，还观察到该组织放弃了StealC和LummaStealer。他们主要针对德国、奥地利和瑞士的公司，其中值得注意的是西班牙和美国。

自诞生以来，安全研究人员就对生成式人工智能工具及其在每个黑客技术堆栈中的地位发出了警告。为了解决这个问题，这些工具的开发人员设置了障碍，防止创建恶意内容。然而，到目前为止，骗子已经成功地解决了这些解决方案。