Tấn công mạng AI: Mối đe dọa nghiêm trọng từ web lừa đảo

Một **mối đe dọa mạng** mới và đáng báo động đã xuất hiện trong bối cảnh an ninh mạng, nơi những kẻ tấn công kết hợp trí tuệ nhân tạo (AI) với các cuộc **tấn công mạng** dựa trên web để biến các trang web tưởng chừng vô hại thành công cụ lừa đảo nguy hiểm theo thời gian thực.

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng tội phạm mạng hiện đang tận dụng các hệ thống AI tạo sinh để tạo ra mã độc tải động sau khi người dùng truy cập các trang web có vẻ an toàn. Vector tấn công này thể hiện một sự phát triển đáng kể trong các mối đe dọa dựa trên web, khiến việc phát hiện và ngăn chặn trở nên thách thức hơn nhiều đối với các giải pháp bảo mật truyền thống.

Khai Thác AI Tạo Sinh Trong Các Chiến Dịch Tấn Công Mạng

Kỹ thuật tấn công này hoạt động bằng cách nhúng các lệnh được chế tạo đặc biệt vào một trang web lành tính. Khi người dùng truy cập trang, trang đó sẽ bí mật yêu cầu mã từ các dịch vụ AI phổ biến như Google Gemini hoặc DeepSeek thông qua các API công khai của chúng.

Những kẻ tấn công đã thiết kế các yêu cầu này với các câu lệnh ẩn, nhằm đánh lừa các hệ thống AI tạo ra mã JavaScript độc hại, qua mặt các biện pháp bảo vệ an toàn của chúng. Khi AI tạo ra mã này, nó sẽ được thực thi trực tiếp trong trình duyệt của nạn nhân, ngay lập tức biến trang web ban đầu thành một trang lừa đảo hoặc công cụ đánh cắp thông tin đăng nhập.

Cơ Chế Khai Thác Mã Độc Thời Gian Thực

Vì mã độc được lắp ráp và thực thi chỉ tại thời điểm chạy (runtime), nó không để lại bất kỳ payload tĩnh nào có thể phát hiện được. Các nhà phân tích của Palo Alto Networks đã xác định mối đe dọa mới nổi này thông qua nghiên cứu sâu rộng và thử nghiệm chứng minh khái niệm. Đội ngũ nghiên cứu Unit 42 của họ đã trình diễn cách những kẻ tấn công có thể khai thác một cách có hệ thống kỹ thuật này để tăng cường các chiến dịch lừa đảo hiện có của mình, đồng thời né tránh các biện pháp phòng thủ an ninh dựa trên mạng.

Các nhà nghiên cứu lưu ý rằng phương pháp này đặc biệt hiệu quả vì mã độc đến từ các miền dịch vụ AI đáng tin cậy, cho phép nó vượt qua nhiều hệ thống lọc mạng thường chặn lưu lượng truy cập đáng ngờ. Để biết thêm chi tiết kỹ thuật, độc giả có thể tham khảo báo cáo chuyên sâu của Palo Alto Networks tại Unit 42: Real-time Malicious JavaScript Through LLMs.

Hiện tại, không có Chỉ số thỏa hiệp (IOC) cụ thể như địa chỉ IP, tên miền hoặc hàm băm tệp được cung cấp trong bối cảnh kỹ thuật tấn công này, do tính chất động và không lưu vết của nó.

Thách Thức Trong Phát Hiện Xâm Nhập Và Bảo Vệ Hệ Thống

Bản chất đa hình của mã do AI tạo ra khiến cuộc tấn công này cực kỳ khó phát hiện và chặn. Mỗi khi người dùng truy cập một trang web bị xâm nhập, AI sẽ tạo ra một phiên bản mã độc hơi khác với cú pháp và cấu trúc đa dạng, mặc dù chức năng cơ bản vẫn giống hệt nhau.

Mã Độc Đa Hình Và Vượt Qua Công Cụ Bảo Mật

Sự biến đổi liên tục này có nghĩa là các công cụ bảo mật dựa vào việc nhận dạng các chữ ký hoặc mẫu mã cụ thể sẽ không thể xác định được mối đe dọa. Ngoài ra, vì nội dung độc hại di chuyển qua các miền API AI hợp pháp, các công cụ giám sát mạng không thể phân biệt giữa các yêu cầu AI thông thường và các lệnh **tấn công mạng** ẩn.

Việc lắp ráp và thực thi mã tại thời điểm chạy trực tiếp trong trình duyệt càng làm phức tạp thêm việc phát hiện vì mối đe dọa không bao giờ tồn tại dưới dạng một tệp tĩnh trên đĩa.

Biện Pháp Khuyến Nghị Để Tăng Cường An Ninh Mạng

Để đối phó với mối đe dọa phức tạp này, Palo Alto Networks khuyến nghị triển khai các giải pháp phân tích hành vi thời gian chạy. Các giải pháp này có khả năng phát hiện và chặn hoạt động độc hại ngay tại thời điểm thực thi trong chính trình duyệt, thay vì chỉ dựa vào các biện pháp phòng thủ cấp mạng truyền thống.

Việc chuyển đổi sang các giải pháp có khả năng phân tích hành vi động là cần thiết để bảo vệ chống lại các hình thức **tấn công mạng** tiên tiến, đặc biệt là khi chúng lợi dụng các công nghệ mới như AI để tạo ra mã độc biến đổi liên tục.