MalTerminal: первый пример вредоноса с GPT-4 внутри

Екатерина Быстрова 22 Сентября 2025 - 09:05

...

MalTerminal: первый пример вредоноса с GPT-4 внутри

На конференции LABScon 2025 исследователи из SentinelOne рассказали о находке, которую называют первым известным примером зловреда со «встроенным» искусственным интеллектом. Программа получила название MalTerminal.

Она представляет собой исполняемый файл для Windows, который использует GPT-4 для генерации на лету кода вымогателя или обратной оболочки.

В архиве с образцом также обнаружили Python-скрипты с аналогичными функциями и даже инструмент FalconShield, который при помощи ИИ анализирует код на признаки вредоносности.

Исследователи отмечают, что в MalTerminal встроен устаревший API OpenAI, отключённый ещё в ноябре 2023 года. Это значит, что образец создали до этой даты — и, скорее всего, это самый ранний пример LLM-вируса. При этом доказательств его использования в реальных кибератаках нет: возможно, это просто демонстрация возможностей или инструмент для пентестеров.

В SentinelOne считают, что появление LLM-встраиваемых зловредов меняет правила игры. Такие программы могут динамически генерировать команды и логику атаки, что серьёзно усложняет защиту.

На этом фоне другие компании тоже сообщают о новых приёмах киберпреступников. StrongestLayer, например, выявила фишинговые письма, в которых злоумышленники внедряют скрытые промпты прямо в HTML-код. Для ИИ-анализаторов такие письма выглядят безопасными, но открытие вложения запускает цепочку атаки с использованием уязвимости Follina (CVE-2022-30190).

А специалисты Trend Micro описали рост атак, где мошенники используют ИИ-сервисы для создания сайтов. Популярные платформы вроде Lovable, Netlify и Vercel применяются для хостинга поддельных CAPTCHA-страниц, ведущих на фишинговые ресурсы. Жертвы думают, что проходят проверку, а на деле вводят свои данные злоумышленникам.

Все эти примеры показывают: генеративный ИИ уже активно используется не только в бизнесе, но и в арсенале киберпреступников — от разработки зловредов до обхода защитных систем.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 18:23

Windows Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Staffcop добавил файловый сканер и перехват данных в MAX на Windows

В Staffcop (входит в экосистему «Контур») вышло обновление, которое добавляет больше инструментов для расследования инцидентов и профилактики утечек. Самое важное нововведение — файловый сканер для инвентаризации данных и перехват переписки в MAX на Windows.

Новый файловый сканер собирает информацию о файлах на рабочих станциях и в хранилищах, анализирует их содержимое и передаёт результаты на сервер.

Данные автоматически раскладываются по категориям, после чего с ними проще работать: настраивать доступы, политики, назначать метки. Для ИБ-специалистов добавили удобные фильтры и поиск — это упрощает разбор результатов и помогает быстрее находить чувствительные данные и потенциальные риски.

Кроме того, Staffcop теперь учитывает метки, которые проставляет «Спектр.Маркер», и использует их в метаданных файлов. Это позволяет точнее применять политики и ускоряет расследование инцидентов: информация из двух систем анализируется автоматически.

В части контроля коммуникаций добавлен перехват переписки в мессенджере MAX на Windows, а также WebWhatsApp на Linux. Это даёт возможность анализировать сообщения, фиксировать нарушения и выявлять признаки передачи защищаемой информации через несанкционированные каналы.

Разработчики также переработали обработку данных: ускорили извлечение текста и выделение слов-триггеров. Новый механизм спуллера распределяет нагрузку при приёме данных от агентов, что снижает риск просадок производительности и ошибок при работе с большими объёмами информации.

Появился обновлённый драйвер контроля клавиатуры — он позволяет надёжнее фиксировать ввод паролей при входе в систему. Это расширяет возможности контроля рабочих станций и помогает выявлять слабые пароли, несанкционированные учётные записи и попытки доступа.

Обновили и утилиту удалённой установки агентов: теперь можно гибче задавать правила установки и исключения, что особенно актуально для сложной инфраструктуры. Добавлена поддержка Rutoken на Windows для контроля использования токенов, а в интерфейсе появилась информация о сроке окончания технической поддержки сервера — чтобы администраторам было проще планировать обновления и продление поддержки.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »