Bár egyesek szerint a trójai falónak álcázott – hasznosnak tűnő, de fertőzött – segédprogramok mindig is jelen voltak, az elmúlt években viszonylag ritkán találkozhattunk velük. Most azonban visszatértek – méghozzá a mesterséges intelligencia és a nagy nyelvi modellek (LLM-ek) segítségével.

Ha te óvatos felhasználó vagy, akkor tudod, hogy néznek ki a gyanús weboldalak, és nem töltesz le kalózszoftvereket, nem futtatsz kétes fájlokat. Ha egy fájl eredetében bizonytalan vagy, még a VirusTotal.com-on is ellenőrzöd, mielőtt megnyitnád.

De ha kíváncsi természetű is vagy, akkor néha kipróbálsz új alkalmazásokat, amelyek megkönnyíthetik az életed. Például rátalálsz egy receptes oldalra, és letöltöd az asztali alkalmazást is, hogy még könnyebben tudj a receptek között keresni. Aztán eszedbe jut egy régi balatoni nyaralás, és keresel egy AI-alapú képjavító eszközt, hogy a régi fotódat feljavítsa. És ekkor jön Jacky – egy fiatal, kedves rajzolt női figura, aki más barkácsötletek mellett azt is megmondja, hogyan javítsd meg a fürdőszobaajtó kilincsét.

A fent említett weboldalak mind profin néznek ki, nincsenek bennük helyesírási hibák, de van „Rólunk”, „Adatvédelem” és „Felhasználási feltételek” menüpontjuk – semmi nem tűnik gyanúsnak első látásra. A receptoldalon több száz recept található meg, a barkácsötleteket adó AI-segéd pedig valóban hasznos ötletekkel szolgál. Ilyen esetben a felhasználók jelentős része kedvet érez, hogy az ingyenesen elérhető asztali alkalmazást is letöltse, hogy még könnyebben tudjon keresni a gyűjteményekben. Mivel a VirusTotal sem jelez veszélyt a letöltött alkalmazásokra, az óvatosság, ami évekig megvédett, itt már nem működik.

Barkács Jacky a háttérben ütemezett feladatot hoz létre, amely naponta többször is futtatja a kódját, és ugyanarról a szerverről, ahonnan a tanácsokat kapod, titkos utasításokat is lehív.

A receptes app tényleg recepteket tölt le – de a szövegben elrejtett láthatatlan karakterek parancsokat hajtanak végre. Az AI-képfelismerő pedig a fotóért cserébe hozzáférést ad a gépedhez a támadóknak.

És ezek már nem elszigetelt esetek – ez egy teljes értékű trójai faló reneszánsz.

Mi változott?

A „trójai” szó a kiberbiztonságban sokszor mást jelent: lehet bármilyen nem önszaporító kártevő, megtévesztő fájl, vagy akár a malware szinonimája. A klasszikus értelemben vett trójai faló viszont egy hasznos programba ágyazott kártékony kód, ami a hasznos funkció nélkül nem létezhet.

Az elmúlt 10-15 évben ezek ritkábbak voltak, helyettük inkább harmadik féltől származó „összecsomagolók” jelentek meg. Most azonban az LLM-ek mindent megváltoztattak.

MI és vírusirtó-kijátszás

A támadók eddig is használták a VirusTotalhoz hasonló rendszereket a felismerés elkerülésére. A VT szkennerei főleg statikus elemzést végeznek, így egy új kártékony kód gyakran átcsúszik rajtuk. Korábban a felismerés után ehhez a teljes kód újraírására volt szükség, ami sok munka – most viszont a mesterséges intelligencia percek alatt előállít egy új, ismeretlen kódrészletet.

Az AI motorok nemcsak a kódot generálják le, hanem segítenek profi, megbízhatónak tűnő weboldalakat és alkalmazásokat készíteni, amelyek megtévesztik a felhasználókat és az alap szkennereket is.

Az alábbi képeken közös, hogy mindhárom weboldal jobb felső sarkában ott van egy letölthető alkalmazás linkje – és a letölthető alkalmazás egy látszólag hasznos segédprogram, de valójában trójai falóként működve, a háttérben kártékony folyamatokat futtat.

Mi a megoldás?

A hagyományos, statikus vírusdefiníciók nem elegendők a felismerésre. Ha a VirusTotal nem ismer fel egy fájlt kártékonynak, az önmagában még nem jelenti azt, hogy a fájl biztonságosan megnyitható.

Ilyenkor a gépre telepített vírusvédelem viselkedésalapú, kontextusérzékeny és dinamikus elemzése adhat védelmet. A JustAskJacky például azzal bukhat le, hogy véletlenszerű időközönként futtat feladatokat a háttérben – ezeket a telepített vírusvédelem felismerheti.

A felhasználóknak pedig tudniuk kell: a „józan paraszti ész” és a gyanús jelek figyelése már nem mindig elég, mivel a támadók mesterséges intelligenciát használnak a hitelesség látszatának megteremtésére. Ezért érdemes például a keresőkben, fórumokon is tájékozódni egy-egy alkalmazásról, és a frissített vírusvédelem használata is ajánlott.