Sulmuesit po shfrytëzojnë rastet e konfiguruara të hapura të WebUI duke përdorur malware të krijuara nga AI për të kompromentuar sistemet. Open WebUI përdoret nga platformat e njohura të AI Chatbot si Ollama dhe LM Studio për të siguruar një ndërfaqe të vetë-pritur, të bazuar në shfletues për bashkëveprimin me modele të mëdha gjuhësore.
Fushata e sofistikuar shënon një përshkallëzim në lidhje me. Mjetet e AI tani jo vetëm që krijojnë ngarkesa me qëllim të keq, por janë edhe objektiva shfrytëzimi. Sulmet ndikojnë në Linux dhe Windows, duke synuar të instalojnë kriptominerë dhe infostealers përmes evazionit të përparuar. Hetimi i Sysdig zbuloi se sulmuesit fituan qasje fillestare në një sistem të hapur webui, i cili u ekspozua në internet me të drejta administrative dhe pa vërtetim duke ngarkuar një skript python të ngulitur shumë. href=”https://sysdig.com/blog/attacker-exploits-misconfigured-ai-tool-to-run-ai-generated-payload/”target=”_ bosh”> studiuesit vunë në dukje Shenjat stilistike të gjeneratës AI. Një analizë e detektorit të kodit ChatGPT, i cituar nga SYSDIG, përfundoi se skenari ishte”shumë i mundshëm (85-90%) është i gjeneruar nga AI ose i ndihmuar nga AI-të. Malware i ndihmuar nga AI, i quajtur”Pyklump”nga ekipi i hulumtimit, shërbeu si vektori kryesor për sulmin pasues. Kjo është veçanërisht e vërtetë pasi mjetet e vetë-pritura të AI rriten në popullaritet. SYSDIG raportoi një komunikim të komandës dhe kontrollit të lehtësuar në internet. Kjo teknikë është një prirje në rritje pasi lehtësisht përzihet me trafikun e ligjshëm të rrjetit. Për më tepër, ata përdorën ‘Argvhider’ për të fshehur parametrat vendorë të linjës së komandës, të tilla si URL-të e pishinës së minierave dhe adresat e portofolit; Ky mjet arrin errësirën duke ndryshuar vektorin e argumentit të procesit në memorje në mënyrë që mjetet e inspektimit të mos mund të lexojnë të dhënat origjinale të ndjeshme
Rruga e Sulmit të Windows përfshinte instalimin e Kit Java Development (JDK). Kjo ishte për të ekzekutuar një skedar Jar Jar (Java Archive), aplikacion-ref.jar, të shkarkuar nga një server C2. Kjo kavanoz fillestar veproi si një ngarkues për përbërës të mëtejshëm me qëllim të keq. Këto përfshinin int_d.dat, një Windows 64-bit DLL (Biblioteka Dynamic Link) që përmban XOR-Decoding (një metodë e kriptimit) dhe evazionit të sandbox.
Një përbërës tjetër ishte int_j.dat. Kavansi i fundit përmbante një tjetër DLL, app_bound_decryptor.dll, së bashku me infostealers të ndryshëm. Këto kredenciale të synuara nga shtesat dhe mosmarrëveshjet e shfletuesit të kromit. App_Bound_Decryptor.dll vetë ka përdorur kodimin XOR, të përdorur tuba të quajtur (një mekanizëm për komunikim ndër-procesi), dhe përfshinë veçori të zbulimit të sandbox.
Roli i zgjeruar i AI në konfliktin kibernetik
Ky shfrytëzim i hapur i webui është një shembull i fundit brenda një modeli më të gjerë pasi AI është i integruar gjithnjë e më shumë në operacionet kibernetike. Qysh në tetor 2024, Microsoft raportoi një rritje të sulmeve kibernetike të drejtuara nga AI që tejkalojnë 600 milion incidente ditore, duke theksuar se sulmuesit”po shohin një rritje në mënyrën se si kriminelët në internet mund të automatizojnë metodat e tyre përmes AI gjeneruese”. Raporti i tyre i Mbrojtjes Dixhitale 2024 gjithashtu deklaroi se”Vëllimi i sulmeve është thjesht shumë i madh për çdo grup që të trajtojë vetë”
një numër në rritje të fushatave të malware të drejtuara nga AI janë duke përdorur aplikacione të rreme dhe CAPTCHAS për të synuar përdoruesit. Ata shpesh përdorin mjete të errëta të Uebit AI si Wormgpt dhe Fraudgpt për hartimin e postave elektronike të sofistikuara të phishing dhe malware. Kjo kryesisht i atribuohej aftësisë së AI për të krijuar joshje më bindëse dhe të lokalizuara, sipas raportit të Cloud dhe Kërcënimit të Netskope. LLM-të mund të sigurojnë lokalizim më të mirë dhe më shumë larmi për të provuar të shmangin filtrat e spamit dhe të rrisin mundësinë e viktimave të mashtrimit. Google, për shembull, nisi Sec-Gemini V1 në prill. Ky model AI ndihmon profesionistët e sigurisë me zbulimin dhe analizën e kërcënimit në kohë reale. Kjo iniciativë pasoi sukseset e mëparshme, të tilla si AI AI AI i Big Sleep i Google i cili vitin e kaluar identifikoi një ndjeshmëri të konsiderueshme në motorin e bazës së të dhënave SQLite. Google kishte njoftuar zbulimin dhe rregullimin e asaj të metë para se të ndikonte në përdoruesit.
Shitësit e tjerë të mëdhenj gjithashtu forcojnë aftësitë e tyre të AI. Fortinet, nëntorin e kaluar zgjeroi mjetet e tij të sigurisë AI me integrime të reja për zbulimin e përmirësuar të kërcënimit. Në Prill 2025, Google më tej forcoi strategjinë e saj të sigurisë AI duke zbuluar platformën e saj të unifikuar të sigurisë, e cila integron Binjakët AI për të konsoliduar zbulimin dhe përgjigjen e kërcënimit duke përdorur arsyetimin e strukturuar. Kjo bie në kundërshtim me qasjet si Copilot i Sigurisë së Microsoft, i cili përqendrohet më shumë në automatizimin modular.