Security Week 2627: поддельные инструменты ИИ как приманка для малого бизнеса

Kaspersky_Lab4 часа назад

Security Week 2627: поддельные инструменты ИИ как приманка для малого бизнеса

Время на прочтение5 минОхват и читатели4.6KБлог компании «Лаборатория Касперского»Информационная безопасность*На прошлой неделе исследователи «Лаборатории Касперского» опубликовали разбор ландшафта угроз для малого и среднего бизнеса. По данным отчета, небольшие компании остаются мишенью как для операторов массовых вредоносных кампаний, так и для тех, кто использует подрядчика как точку входа в инфраструктуру более крупной организации. Авторы статьи отдельно отмечают, что в 2026 году одной из главных приманок стали популярные ИИ-сервисы.

Главная новость в отчете: с января по апрель 2026 года защитные решения «Лаборатории Касперского» зафиксировали 33 352 атаки на малый и средний бизнес, в которых вредоносное или потенциально нежелательное ПО маскировалось под один из пяти популярных ИИ-сервисов. Это почти в пять раз больше, чем за аналогичный период 2025 года. Всего было обнаружено более 1100 уникальных образцов такого ПО — на 21% больше, чем в прошлом году. В основном это разнообразные троянские программы, в том числе загрузчики, которые подтягивают на скомпрометированную машину дополнительную нагрузку. Среди приманок авторы называют сервис Claude и приложение OpenClaw (бывший Clawdbot, он же Moltbot), ставшие особо популярными в 2026 году. Как и следовало ожидать, чем более на слуху конкретный инструмент, тем выше вероятность столкнуться с его поддельной копией в Сети. Разбивку по типам популярных сервисов, под которые маскировались вредоносные кампании, можно посмотреть на скриншоте выше.

Несмотря на распространение вредоносных инструментов, маскирующихся под ИИ, наиболее массовой приманкой остаются мессенджеры и сервисы для видеосвязи. За те же четыре месяца под поддельные коммуникационные приложения было замаскировано 414 736 атак — но вот этот показатель почти не изменился год к году. Поддельные офисные пакеты и платформы для совместной работы дали еще 24 тысячи атак. Атак, замаскированных под ИИ-сервисы, оказалось на 39% больше, чем атак под видом офисного софта.

Помимо вредоносного ПО, отчет разбирает фишинговые и скам-кампании, нацеленные на организации и предпринимателей. В одном из примеров злоумышленники выдавали себя за банк, предлагающий бизнес-счет или кредит, собирали на поддельной форме данные вплоть до номера социального страхования. В другом — рекламировали ИИ-сервис «для подрядчиков», якобы помогающий со счетами и расписанием. После оплаты подписки пользователь в большинстве случаев не получает вообще ничего — злоумышленники даже не пытаются симулировать наличие какого-то полезного сервиса. Еще одна схема — поддельные уведомления о нарушении правил бизнес-страницы в соцсети с предложением заполнить форму апелляции и указать в том числе пароль от аккаунта.

Электронная почта остается одним из основных векторов атаки. Злоумышленники все чаще рассылают мошеннические письма через легитимные платформы, чтобы обойти почтовые фильтры и воспользоваться доверием к известным сервисам. Примеры приводятся следующие: поддельное уведомление от OneDrive («зашифрованный объект внутри вашего безопасного облачного периметра» и с подставленными в текст реальными данными получателя), письмо от имени Apple о «проблеме с соблюдением нормативных требований» и двухэтапная схема с приглашением на несуществующую встречу, где первая ссылка ведет на настоящую страницу Zoom Canvas, а уже оттуда — на фишинговую. За весь 2025 год, по данным «Лаборатории Касперского», пользователи и организации получили более 144 млн вредоносных и нежелательных вложений — на 15% больше, чем годом ранее.

Отдельный раздел посвящен брокерам первоначального доступа. Эксперты Kaspersky Digital Footprint Intelligence проанализировали сотни публикаций на даркнет-форумах за январь–апрель 2025 и 2026 годов. Брокеры торгуют точками входа в скомпрометированные сети, например, через RDP или веб-шеллы, указывая регион, отрасль, выручку жертвы и уровень привилегий. Учетные записи с правами администратора, как правило, стоят дороже. В совокупности предложения по малому и среднему бизнесу составляют более половины всех проанализированных публикаций. Малый бизнес лидирует по числу объявлений, однако, по мнению экспертов компании, злоумышленников может больше интересовать средний бизнес: он доходнее малого, но защищен зачастую хуже крупного.

В качестве мер защиты авторы отчета рекомендуют набор очевидных мер: загружать ПО только из официальных источников, ограничивать права доступа к корпоративным ресурсам и своевременно отзывать их при увольнении работника, регулярно создавать резервные копии важных данных, согласовывать установку нового софта с IT-отделом, защищать почтовый периметр и повышать осведомленность сотрудников, поскольку значительная часть разобранных схем рассчитана на невнимательность.

Что еще произошло

Еще одна публикация экспертов «Лаборатории Касперского» разбирает уязвимость CVE-2024-2658 в ПО Schneider Electric Floating License Manager. Эта программа является частью комплекса автоматизации на производстве. Ошибка, при которой не накладываются ограничения на доступ к одному из конфигурационных файлов, может приводить и к повышению привилегий в системе, и к утечке важных данных о параметрах работы промышленной сети.

Торговая платформа Polymarket подверглась атаке на цепочку поставок: взлом стороннего поставщика привел к временному появлению вредоносного скрипта на страницах сайта. В результате некоторое количество клиентов (точные данные официально не раскрываются) потеряло около трех миллионов долларов. Polymarket пообещала полностью возместить нанесенный ущерб. Сторонние источники дают больше информации: имела место фишинговая атака, которая затронула не более 15 клиентов.

Еще две уязвимости обнаружены в ядре Linux. Одна из них, названная DirtyClone (CVE-2026-43503), отчасти похожа на ранее обнаруженные Dirty Frag и Fragnesia и обеспечивает возможность локального повышения привилегий.

Свежее вредоносное ПО для MacOS, названное Gaslight, пытается вводить в заблуждение ИИ-ассистенты, задачей которых является анализ потенциально опасного кода. В Gaslight были намеренно внесены ошибки, которые предположительно могут вызвать сбой в работе ИИ. Соответственно, цель этих изменений — сделать вредоносную составляющую «невидимой».

Свежая научная работа показывает, что так называемый вайб-кодинг, или автоматизированное написание ПО с помощью ИИ-ассистентов, вносит в код новые паттерны уязвимостей. Вызвано это структурными особенностями современных LLM.

Обнаружение уязвимостей в древнем коде становится модным трендом последнего времени благодаря использованию ИИ-ассистентов. Свежий пример: 29-летняя проблема в кэширующем прокси-сервере Squid, приводящая к утечке приватных данных.

Разработчики менеджера паролей LastPass сообщают об утечке данных, произошедшей в результате взлома стороннего сервиса — платформы для бизнес-аналитики Klue. В результате организаторы атаки получили доступ к базам данных клиентов компании.

После волны критики AMD отменила ранее принятое решение об отключении системы шифрования данных в оперативной памяти для пользовательских процессоров.Теги:• иб
• smb
• report
• openclawХабы:• Блог компании «Лаборатория Касперского»
• Информационная безопасность