U srpnju 2025. godine pojavila se nova vrsta cyber napada u kojoj napadači iskorištavaju generativnu umjetnu inteligenciju, poput ChatGPT-a, za izradu lažnih osobnih iskaznica (deepfake). Ove lažne slike ugrađuju se u ciljane phishing poruke koje uspijevaju zaobići tradicionalne antivirusne sustave i probiti sigurnosne barijere.
Kako izgledaju napadi uz ChatGPT?
Napadači šalju e-mailove koji se predstavljaju kao službene poruke vojne ili sigurnosne institucije, opremljene vizualima koje je generirao ChatGPT, što im daje uvjerljiv izgled autentičnosti. Primatelji dobivaju zahtjev za pregled “skice” osobnih iskaznica – zapravo lažnih dokumenata – što ih potiče da otvore zlonamjerne arhive.
Nakon otvaranja, pokreću se skripte koje su skrivene i kriptirane tako da ih antivirusni softver teško detektira. Ova kombinacija umjetne inteligencije i klasika tehnika prikrivanja rezultira sofisticiranom prijetnjom usmjerenom na skladištenje i krađu osjetljivih podataka.
Tehnička pozadina napada
Napad je pripisan hakerskoj skupini Kimsuky, poznatoj po naprednim tehnikama ciljanih napada. Oni koriste kombinaciju AutoIt skripti i PowerShell naredbi kroz serverske napade smještene u Južnoj Koreji.
Faza 1: Opskrba i aktivacija malicioznog koda
Po primitku e-maila, korisnik otvara ZIP datoteku nazvanu „Government_ID_Draft.zip” koja sadrži prečac (shortcut) maskiran kao legitimni dokument. Ovaj prečac pokreće cmd.exe koji pomoću složenih komandi sastavlja skriptu skrivenu kroz korištenje varijabli okoline.
Faza 2: Preuzimanje deepfake lažnih slika i skripti
Sastavljeni kod zatim preuzima dvije ključne datoteke: deepfake lažnu PNG sliku koja je generirana na temelju AI i dodatni batch skript. Slika, iako uvjerljiva, nosi metapodatke koji otkrivaju da je umjetno stvorena s 98% vjerojatnosti prepoznavanja.
Faza 3: Skrivena uporaba i trajnost napada
Nakon izvršenja, skripta kreira zadatke u sustavu za automatsko pokretanje zlonamjernog programa pod izgovorom redovitih nadogradnji softvera, kao što je primjerice lažni Hancom Office update, čime se održava trajna kontrola nad zaraženim računalom i osigurava stalna prisutnost napadačkog koda.
Zašto je ova prijetnja alarmantna?
Ovaj hibridni napad pokazuje koliko brzo cyberkriminalci usvajaju nove tehnologije poput generativne umjetne inteligencije kako bi povećali svoje šanse za uspjeh. Kombinacija AI generiranih sadržaja i klasičnih metoda prikrivanja rezultira napadima koji su vrlo teški za otkrivanje.
Signal za uzbunu je činjenica da tradicionalni antivirusni programi i potpornici sigurnosnih sustava nisu konstruirani da na primjeran način detektiraju ovakve kompleksne obrasce ponašanja. Zato se nameće potreba za korištenjem naprednih rješenja poput analize ponašanja i sustava za otkrivanje i odgovor na prijetnje na krajnjim točkama (EDR).
Kako se zaštititi?
- Obuka zaposlenika – Prvi korak za smanjenje rizika jest edukacija o prepoznavanju sumnjivih e-mailova i upotreba zdravog skepticizma prema neočekivanim zahtjevima za preuzimanje privitaka ili otvaranje linkova.
- Provedba višefaktorske autentifikacije – Iako napadi ciljanih phishing kampanja pokušavaju proći neopaženo, složeniji sustavi za prijavu mogu otežati pristup ukradenim podacima.
- Implementacija EDR i analiza ponašanja – Korištenje sustava koji prate neobične radnje skripti, stvaranje zakazanih zadataka i sličnih tehnika u realnom vremenu.
- Redovita ažuriranja – Održavanje svih operativnih sustava i aplikacija na najnovijim verzijama sprječava iskorištavanje poznatih ranjivosti.
Zaključak
Kombinacija generativne umjetne inteligencije i klasičnih cyber napada postavlja nove izazove za sigurnosne stručnjake. Napadi poput opisanog slučaja sa zlonamjernim ID karticama pokazuju da je nužno ići korak ispred napadača koristeći sofisticirane taktike obrane te kontinuirano educirati korisnike. Samo integriran pristup koji uključuje primjenu naprednih tehnologija, svijest zaposlenika i stalnu nadogradnju sigurnosnih mjera može zaustaviti ovakav oblik generativnog cyber kriminala.
Najčešća pitanja
1. Kako generativna AI poput ChatGPT-a pomaže napadačima?
AI generira uvjerljive lažne vizuale, poput osobnih iskaznica, koje su dimenzionirane i opisane tako da izgledaju kao autentični dokumenti, što povećava vjerojatnost da žrtve nasjednu na phishing prijevare.
2. Zašto tradicionalni antivirusni programi ne uspijevaju prepoznati ove prijetnje?
Ovi napadi koriste skriveno sastavljanje komandnih linija putem varijabli, obfusktirane skripte i zakazane zadatke, što otežava otkrivanje uzoraka ili ponašanja zlonamjernog koda standardnim antivirusima.
3. Koji su preporučeni koraci za zaštitu zaposlenika i tvrtki od ovakvih napada?
Važno je educirati korisnike o sigurnosnim praksama, koristiti višefaktorsku autentifikaciju, implementirati EDR alate te redovito ažurirati sustave i aplikacije kako bi se smanjila izloženost ranjivostima i povećala detekcija neobičnih aktivnosti.
