This post is also available in:
English (אנגלית)
פושעי סייבר מעניקים כיום עדיפות למהירות ולהיקף פעולה על פני תחכום טכני עמוק. במקום לפתח ניצול פרצות מורכב במיוחד, תוקפים מרכיבים קמפיינים באמצעות רכיבים מודולריים וסקריפטים שנוצרו בעזרת בינה מלאכותית — מה שמאפשר להם לפעול במהירות ובעלות נמוכה יותר. דו"ח Threat Insight עדכני של HP Wolf Security מצביע על כך שגישת ה"ערכה להרכבה" (flat-pack) הזו לנוזקות מוכיחה את עצמה, גם כאשר הטכניקות הבסיסיות אינן מתוחכמות במיוחד.
השינוי מתמקד באוטומציה ובשימוש חוזר. כלי AI משמשים ליצירת סקריפטים קלי משקל המכונים לעיתים “vibe hacking”, כלומר קטעי קוד הניתנים להתאמה למספר קמפיינים שונים. בשילוב עם ערכות נוזקה מודולריות, ניתן להרכיב שרשראות חדירה במאמץ מינימלי.
על פי דיווח של Cyber News, אחד הקמפיינים שזוהו בדו"ח השתמש במסמכי PDF כנקודת כניסה. במקום להטמיע נוזקה ישירות בקובץ, המסמכים שימשו כפיתיון — עם תצוגות מטושטשות או הודעות שגיאה מזויפות שעודדו את המשתמש ללחוץ. הקישור המוטמע הפנה את הקורבן לאתר שנפרץ, ובאחד המקרים אף נותב דרך Booking.com כדי להגביר אמינות. הקובץ שהורד הוסווה באמצעות סיומות כפולות ורווחים מטעים, כך שייראה תמים.
מאחורי הקלעים, קובץ JavaScript הפעיל מטען PowerShell. הסקריפט כלל תוכן מקודד ב־Base64 כדי להסתיר הוראות זדוניות, שפוענחו בהמשך באמצעות טכניקת XOR. מעניין לציין כי בעוד השלב הראשוני עבר טשטוש (obfuscation), שלב ה־PowerShell נותר גלוי יחסית — ביטוי למגמה של שימוש בשיטות פשוטות יותר אך עדיין אפקטיביות.
קמפיין נוסף השתמש בהרעלת SEO ובפרסום זדוני כדי להפנות משתמשים לאתר מזויף של Microsoft Teams. האתר דמה באופן משכנע לפלטפורמה האמיתית והציע מתקין שנראה סטנדרטי למערכת Windows. החבילה כללה תוכנה לגיטימית לצד רכיבים נוספים, בהם קובץ הרצה חתום וקובץ DLL זדוני. באמצעות טכניקת DLL sideloading הופעלה הנוזקה, שזוהתה כ־OysterLoader, ויצרה גישת דלת אחורית מתמשכת, המזוהה לעיתים עם שלב מקדים לפריסת כופרה.
עבור גופי ביטחון והגנת המולדת, הממצאים מדגישים נוף איומים משתנה. במקום להסתמך על פרצות Zero-Day מתקדמות, יריבים מנצלים את אמון המשתמשים במותגים ופלטפורמות מוכרות. הבינה המלאכותית מאפשרת איטרציה מהירה והרחבת פעילות, תוך השתלבות בתעבורה ארגונית רגילה.
הדו"ח מעריך כי הנגישות הגוברת לכלי AI עשויה להאיץ קמפיינים מסוג זה, ומדגיש את הצורך בהגנה רב־שכבתית ובניטור קפדני של תחנות קצה.
