Группировка Leek Likho поставила на поток использование больших языковых моделей для модификации вредоносного ПО. С 2026 года злоумышленники применяют нейросети, чтобы адаптировать свои инструменты под конкретные цели в российском госсекторе, постоянно меняя названия файлов и структуру вредоносных скриптов для обхода систем защиты.
Активность злоумышленников, которая наблюдается с 2025 года, строится вокруг социальной инженерии и многоступенчатой загрузки вредоносных компонентов. Атаки стартуют в Telegram: жертва получает ссылку, стилизованную под файлообменник Dropbox или внутренний сервис мессенджера. Скачанный архив содержит LNK-файл с двойным расширением, который маскируется под обычный PDF-документ, например, приказ о поощрении сотрудников.Внутри архива скрыты инструменты, имитирующие популярный софт для работы с базами данных. После запуска файла цепочка заражения активирует сбор данных, которые затем передаются хакерам через утилиту rclone. Эксперты «Лаборатории Касперского» отмечают, что использование ИИ позволяет преступникам генерировать уникальные варианты скриптов для каждого случая. Это превращает каждый файл в своего рода персональный идентификатор зараженного устройства, что серьезно затрудняет обнаружение угрозы стандартными методами и делает ставку на поведенческий анализ единственным эффективным способом защиты.
Комментарии (0)
Пока нет комментариев. Будьте первым!