这款新的PowerShell恶意软件看起来像是由AI编写的

Proofpoint声称已经发现黑客如何使用生成式人工智能快速有效地创建恶意代码的证据。

该公司的研究人员发布了一份关于TA547的新报告，TA547是一个以经济为动机的威胁行为者，通常充当初始访问代理(IAB)，从受害者那里获取登录凭据，然后在暗网上将其出售给出价最高的人。

该组织最近开始对德国组织发起电子邮件钓鱼活动，传播Rhadamanthys恶意软件。在此次活动中，他们冒充德国零售公司Metro，发送与发票相关的消息。这些电子邮件会携带受密码保护的ZIP文件，如果执行该文件，就会触发PowerShell运行远程PowerShell脚本。

该脚本解码了存储在变量中的Rhadamanthys恶意软件，并将其直接加载到内存中。研究人员还认为，这个脚本可能是由生成式AI编写的。

显然，PowerShell脚本包含一个井号，后面跟着脚本每个组件上方语法正确且非常具体的注释，这是“LLM生成的编码内容的典型输出”。

研究人员进一步解释道，这不会改变任何防御措施。抵御这些威胁的机制保持不变。

TA547已经活跃了几年，通常会传播NetSupportRAT。不过，该组织也被发现传播StealC和LummaStealer。他们主要对德国、奥地利和瑞士的公司，其中西班牙和美国是值得注意的。