Cyberataki wspierane AI rosną w siłę. Raport HP ujawnia nowe techniki „vibe hackingu” i fałszywych instalatorów Teams
Najnowszy raport HP Wolf Security pokazuje, że cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję do przyspieszania i skalowania swoich działań. Ataki tworzone z pomocą AI są zazwyczaj proste i mało wyrafinowane, ale mimo to skutecznie omijają firmowe zabezpieczenia. Badanie opiera się na analizie realnych incydentów wykrytych na milionach urządzeń korzystających z technologii HP Wolf Security.
AI jako narzędzie do szybkiego budowania i modyfikowania kampanii
Cyberprzestępcy coraz częściej składają swoje kampanie z gotowych, modułowych elementów malware, co pozwala im błyskawicznie tworzyć nowe warianty ataków. Tanie komponenty kupowane na forach hakerskich umożliwiają budowanie kampanii przy minimalnym nakładzie pracy. Te same skrypty i instalatory pojawiają się w wielu niezależnych kampaniach, co sugeruje, że różne grupy korzystają z identycznych „klocków” do budowy ataków.
„Vibe hacking” i manipulacja zaufaniem użytkowników
W raporcie opisano kampanie, w których AI generuje kompletne skrypty infekcyjne wykorzystywane do automatycznego instalowania malware. Jedna z analizowanych akcji wykorzystywała fałszywy plik PDF z fakturą, który po otwarciu pobierał złośliwy kod z przejętej strony. Aby uśpić czujność ofiary, po pobraniu malware użytkownik był przekierowywany na zaufaną platformę, między innymi Booking.com, co miało stworzyć wrażenie, że wszystko przebiega prawidłowo.
Malware typu „Flat-pack” jako szybka metoda skalowania ataków
HP zauważa rosnącą popularność tzw. „flat-pack malware”, czyli zestawów gotowych komponentów pozwalających szybko budować kampanie. Przynęty i finalne ładunki mogą się zmieniać, ale środkowe elementy infekcji pozostają takie same, co znacząco skraca czas przygotowania nowych ataków. Tego typu podejście pozwala cyberprzestępcom działać masowo, tanio i bez konieczności tworzenia zaawansowanych narzędzi od zera.
Fałszywe instalatory Teams i ukryty Oyster Loader
W raporcie opisano kampanię, w której cyberprzestępcy podszywali się pod instalator Microsoft Teams. Ofiary pobierały aplikację z fałszywych stron promowanych przez zmanipulowane wyniki wyszukiwania oraz złośliwe reklamy. W tle instalował się Oyster Loader, który działał jako ukryty moduł otwierający atakującym drogę do urządzenia, podczas gdy prawdziwa aplikacja Teams instalowała się poprawnie.
Eksperci HP ostrzegają przed rosnącą automatyzacją ataków
Badacze HP podkreślają, że cyberprzestępcy nie wykorzystują AI do tworzenia bardziej zaawansowanych ataków, lecz do zwiększania tempa i obniżania kosztów. Proste kampanie nadal są skuteczne, ponieważ systemy oparte wyłącznie na wykrywaniu nie nadążają za szybkim generowaniem nowych wariantów malware. Według ekspertów organizacje powinny ograniczać ekspozycję na zagrożenia, izolując działania wysokiego ryzyka w bezpiecznych środowiskach.
Dane z raportu pokazują skalę problemu
W okresie od października do grudnia 2025 roku cyberprzestępcy intensywnie testowali nowe metody omijania zabezpieczeń. Co najmniej 14% zagrożeń e-mailowych wykrytych przez HP Sure Click przeszło przez przynajmniej jeden skaner bramy pocztowej. Najczęściej wykorzystywane do infekcji były pliki wykonywalne, następnie archiwa .zip oraz dokumenty .docx. Użytkownicy HP Wolf Security otworzyli już ponad 60 miliardów potencjalnie ryzykownych plików i stron bez zgłoszenia naruszeń, co pokazuje skuteczność izolacji zagrożeń.
Izolacja jako klucz do ograniczenia skutków ataków AI
Eksperci HP wskazują, że w świecie, w którym malware można przepakować w kilka minut, tradycyjne systemy wykrywania nie wystarczą. Izolowanie podejrzanych działań w odseparowanych środowiskach pozwala zatrzymać zagrożenia, zanim wyrządzą szkody. Takie podejście eliminuje całe klasy ryzyk, niezależnie od tego, jak szybko cyberprzestępcy generują nowe warianty ataków.
Czytaj też: Cyberprzestępcy ukrywają złośliwy kod w plikach PDF i obrazach – nowy raport HP Wolf Security ostrzega!
Grafika tytułowa: Mina Rad / Unsplash
