Η άνοδος της κωδικοποίησης με τη βοήθεια AI έχει φέρει πραγματική αξία στους προγραμματιστές σε όλο τον κόσμο, αλλά άνοιξε επίσης μια νέα πόρτα για την εκμετάλλευση των εγκληματιών του κυβερνοχώρου.
Μια έννοια γνωστή ως «κωδικοποίηση vibe» – όπου οι χρήστες απλώς περιγράφουν αυτό που θέλουν και τα μοντέλα τεχνητής νοημοσύνης γράφουν τον κώδικα γι ‘αυτούς – έχει πλέον στρέψει τους καθημερινούς χρήστες του Διαδικτύου.
Οι φορείς απειλών βασίζονται σε αυτήν την τεχνική για να δημιουργήσουν κακόβουλο λογισμικό γρηγορότερα και με πολύ λιγότερη δεξιότητα, καθιστώντας ευκολότερη από ποτέ την έναρξη μιας επικίνδυνης καμπάνιας.
Τον Ιανουάριο του 2026, μια μεγάλης κλίμακας εκστρατεία κακόβουλου λογισμικού ήρθε στο φως. Περισσότερα από 443 κακόβουλα αρχεία ZIP βρέθηκαν στην άγρια φύση, το καθένα μεταμφιεσμένο ως κάτι που οι χρήστες μπορεί πραγματικά να θέλουν – γεννήτριες εικόνων AI, εργαλεία αλλαγής φωνής, hacks παιχνιδιών, εκτελεστές σεναρίων Roblox, λογισμικό VPN, προγράμματα οδήγησης καρτών γραφικών, αποκρυπτογραφητές ransomware, ακόμη και εργαλεία κλοπής πληροφοριών.
Αυτά τα αρχεία φιλοξενήθηκαν σε ευρέως χρησιμοποιούμενες πλατφόρμες, όπως το Discord, το SourceForge, το FOSSHub, το MediaFire και έναν ιστότοπο στο mydofiles.com.
.webp.jpeg)
Οι αναλυτές της McAfee προσδιόρισαν την καμπάνια και σημείωσε ότι τα πρώτα σημάδια αυτής της απειλής ανάγονται στον Δεκέμβριο του 2024, με τα στοιχεία σεναρίων που δημιουργούνται από AI να εμφανίζονται πιο πρόσφατα.
Οι ερευνητές ανακάλυψαν 48 μοναδικές παραλλαγές ενός αρχείου που ονομάζεται WinUpdateHelper.dll — ο κακόβουλος κινητήρας πίσω από κάθε μόλυνση.
Αυτές οι 48 παραλλαγές χωρίζονται σε 17 διακριτές αλυσίδες kill, καθεμία με τη δική της υποδομή εντολών και ελέγχου, αλλά μοιράζονται τα διαπιστευτήρια πορτοφολιού κρυπτονομισμάτων, ένα λάθος που επέτρεψε στους ερευνητές να παρακολουθήσουν τα χρήματα.
Η καμπάνια έφτασε σε χρήστες σε πολλές χώρες, με τις Ηνωμένες Πολιτείες να έχουν το υψηλότερο ποσοστό μόλυνσης, ακολουθούμενες από το Ηνωμένο Βασίλειο, την Ινδία, τη Βραζιλία, τη Γαλλία, τον Καναδά και την Αυστραλία.
.webp.jpeg)
Επτά πορτοφόλια Bitcoin που συνδέονται με τη λειτουργία διατηρούσαν περίπου 4.536 USD κατά τη στιγμή της γραφής, με τα συνολικά ληφθέντα κεφάλαια να αγγίζουν σχεδόν τα 11.498 USD.
Δεδομένου ότι οι περισσότερες εξορύξεις στοχεύουν νομίσματα που εστιάζουν στο απόρρητο, όπως το Monero και το Zephyr, ο πραγματικός οικονομικός αντίκτυπος είναι πιθανότατα πολύ υψηλότερος.
Περισσότερες από 100 διευθύνσεις URL εξυπηρετούσαν ενεργά αυτό το κακόβουλο λογισμικό κατά τη στιγμή της ανακάλυψης, με περίπου 61 να φιλοξενούνται στο Discord, 17 στο SourceForge και 15 στο mydofiles.com — ένα ευρύ αποτύπωμα διανομής που καθιστά δύσκολο τον περιορισμό αυτής της καμπάνιας μόνο μέσω της κατάργησης.
Μέσα στην Αλυσίδα Λοιμώξεων
Όταν ένας χρήστης ανοίγει ένα από τα trojanized αρχεία ZIP και εκτελεί το εκτελέσιμο αρχείο μέσα, ένα κακόβουλο DLL — WinUpdateHelper.dll — φορτώνεται αθόρυβα δίπλα του.
.webp.png)
Το εκτελέσιμο αρχείο είναι καθαρό και περνά βασικούς ελέγχους ασφαλείας. Στη συνέχεια, το DLL ανοίγει το πρόγραμμα περιήγησης του θύματος και το ανακατευθύνει σε μια σελίδα που υποστηρίζει ότι ο χρήστης δεν έχει μια κρίσιμη εξάρτηση.
Το θύμα κατευθύνεται στη λήψη του DependencyCore.zip, το οποίο εγκαθιστά άσχετο λογισμικό τρίτων – σε μια επιβεβαιωμένη περίπτωση, το iTop Easy Desktop – καθαρά ως αντιπερισπασμό.
Ενώ το θύμα αποσπάται η προσοχή από το ψεύτικο πρόγραμμα εγκατάστασης, το WinUpdateHelper.dll έχει ήδη συνδεθεί σε έναν διακομιστή εντολών και ελέγχου.
Ο τομέας C2 δημιουργείται δυναμικά χρησιμοποιώντας τη χρονική σήμανση UNIX του συστήματος και ανανεώνεται κάθε 58 ημέρες, καθιστώντας δύσκολο τον εκ των προτέρων αποκλεισμό.
.webp.jpeg)
Για να διατηρήσει το σύστημα, το κακόβουλο λογισμικό καταχωρεί μια υπηρεσία των Windows με το όνομα “Microsoft Console Host”, η οποία έχει οριστεί να εκτελείται σε κάθε εκκίνηση του συστήματος. Το σενάριο PowerShell που τραβάει προς τα κάτω και στη συνέχεια εκτελείται εξ ολοκλήρου στη μνήμη — μια μέθοδος χωρίς αρχεία που το κρατά αόρατο στα εργαλεία που σαρώνουν αρχεία στο δίσκο.
Το σενάριο PowerShell εκτελεί μια αλυσίδα επιβλαβών ενεργειών μόλις εκτελεστεί. Καταργεί παλιότερες καταχωρήσεις επιμονής για την αποφυγή διενέξεων και, στη συνέχεια, προσθέτει τον φάκελο ProgramData στη λίστα εξαιρέσεων του Windows Defender, ώστε να μπορούν να απορριφθούν περαιτέρω ωφέλιμα φορτία χωρίς εντοπισμό.
Στη συνέχεια, αναπτύσσονται δύο εξορύκτες νομισμάτων: ο ένας χρησιμοποιεί την CPU για την εξόρυξη του Zephyr, ο άλλος χρησιμοποιεί τη GPU για την εξόρυξη του Ravencoin, με τις ανταμοιβές να μετατρέπονται σε Bitcoin πριν από την πληρωμή.
Σε ορισμένες μολύνσεις, το τελικό ωφέλιμο φορτίο είναι το SalatStealer ή ένα εργαλείο απομακρυσμένης πρόσβασης Mesh Agent. Οι χρήστες θα πρέπει να αποφεύγουν τη λήψη λογισμικού από ανεπίσημες πηγές, να ελέγχουν τακτικά τις ενεργές υπηρεσίες των Windows για απροσδόκητες καταχωρήσεις και να αντιμετωπίζουν τα μη ζητηθέντα μηνύματα εξάρτησης ως προειδοποιητικό σημάδι.
