AI深偽再進化 新型網路釣魚利用假證件成功繞過傳統防毒軟體

記者孫敬／編譯

2025年7月中旬，一場結合新舊技術的網路攻擊行動悄然上演。駭客利用生成式AI大量偽造政府身分證件的「深偽（Deepfake）」圖片，並將其嵌入一場針對性極高的「魚叉式網路釣魚」（Spear phishing）攻擊中，成功繞過了傳統的防毒軟體防護。

延伸閱讀：修補一個BUG卻意外挖出新漏洞？Windows 11最新版爆核心位址洩漏危機

AI偽造證件成新釣魚誘餌

這波攻擊偽裝成政府軍事與安全機構，電子郵件中不僅文案逼真，甚至還附上了利用ChatGPT製作的視覺資產，引誘收件者點擊下載。駭客聲稱這些圖片是「身分證草稿」需要收件者檢閱，一旦點擊，就會下載惡意壓縮檔，並執行隱藏的惡意腳本。

這起事件突顯了駭客戰術的重大演變，他們將先進的AI技術與傳統的規避手法結合，對敏感網路造成極大威脅。資安分析師將此歸因於惡名昭彰的Kimsuky駭客集團，該集團利用AutoIt和PowerShell等工具，從南韓的C2伺服器分階段傳遞惡意酬載。

駭客巧妙結合字元分割與排程任務，隱藏攻擊軌跡

當受害者打開惡意壓縮檔後，會看到一個偽裝成文件的捷徑檔案，當它被開啟時會透過 cmd.exe 執行一系列批次指令，這些指令事先被存放在環境變數中，並利用「環境變數切割」（environment-variable slicing）技術重組。資安公司 Genians 的分析師發現，駭客利用 %ab901ab[:]~7,1% 這樣的表達式，一次提取一個字元，以動態重組最終的 PowerShell 指令。這種技術不僅能欺騙仰賴特徵碼的防毒引擎，也能透過延遲可見的惡意行為，規避啟發式偵測。

當指令重組並執行後，惡意程式會立即從伺服器下載兩個酬載，一個是由ChatGPT生成的深偽PNG圖片，另一個則是批次腳本。這張圖片的元資料經專門偵測工具分析後，確認其為AI生成，深偽機率高達98%。

為了確保惡意程式能持續運作，駭客還利用排程任務手法，受害者的電腦會新增一個偽裝成合法軟體更新的排程任務，名為「HncAutoUpdateTaskMachine」，並以每七分鐘一次的頻率執行惡意腳本，確保酬載能持續運行。此外，AutoIt編譯的腳本還使用了類似維吉尼亞密碼（Vigenère cipher）的加密手法，進一步阻礙靜態分析。

這起攻擊行動是駭客創新能力的最新例證，他們將生成式AI與傳統的惡意軟體傳輸管道無縫整合，對現有的防禦系統帶來嚴峻挑戰。企業與個人必須升級其資安防禦，除了傳統防毒軟體，更應部署具備行為分析與端點偵測與回應（EDR） 功能的解決方案，以即時監控可疑的腳本活動和排程任務創建。

資料來源：Cyber Security News