Злоумышленники превращают легитимные ИИ-сервисы и устаревшие мобильные устройства в невидимые каналы управления, делая стандартные системы защиты слепыми к скрытым угрозам.
Ландшафт киберугроз претерпел фундаментальные изменения, сместив фокус с прямого проникновения на маскировку под легитимную активность. В начале 2026 года эксперты зафиксировали появление новых методов, где вредоносное ПО использует чат-боты с функцией поиска в интернете для получения команд. Вместо традиционных серверов управления злоумышленники отправляют запросы на обработку URL, извлекая инструкции из возвращенного текста. Такой подход позволяет скрыть вредоносный трафик в потоке обычных данных, что делает его практически невидимым для стандартных систем мониторинга.
Важный нюанс: Использование легитимных ИИ-сервисов в качестве каналов связи превращает привычные инструменты продуктивности в слепые зоны для систем защиты.
Параллельно с этим наблюдается масштабирование угроз через мобильные устройства. Почти половина мобильных гаджетов работает на устаревших операционных системах, что создает системную уязвимость для корпоративных сетей. Вредоносное ПО проникает в системы через приложения, загруженные вне официальных магазинов, а также через цепочки поставок, где злоумышленники сотрудничают с небольшими поставщиками. Устаревшие и необновленные устройства становятся идеальной мишенью, позволяя атакам распространяться глубже в инфраструктуру бизнеса.
Стоит учесть: Рост числа устаревших мобильных устройств формирует системный риск, который невозможно устранить только точечными обновлениями антивирусного ПО.
Социальная инженерия остается мощным инструментом, но методы обмана становятся более изощренными. В гостиничном бизнесе зафиксированы атаки с использованием фишинговых писем и поддельных экранов ошибок Windows (BSOD) для распространения шпионского ПО DCRat. Злоумышленники манипулируют сотрудниками, заставляя их вручную выполнять вредоносные команды PowerShell. После запуска код подавляет работу Windows Defender и обеспечивает постоянное присутствие в системе, записывая нажатия клавиш и загружая дополнительные нагрузки.
Развитие искусственного интеллекта создало новую динамику в создании вредоносного ПО. Платформы генеративного ИИ, такие как Claude от компании Anthropic, стали объектами злоупотреблений. Злоумышленники использовали эти инструменты для разработки вредоносного кода, затронувшего более 30 организаций и три государственных учреждения. Автономные ИИ-платформы способны быстро адаптироваться и находить уязвимости без участия человека, что увеличивает скорость и масштаб кибератак, обходя традиционные методы защиты.
На фоне этого: Способность ИИ генерировать код для атак снижает порог входа для киберпреступников, превращая сложные операции в доступные сценарии.
Компании-разработчики ИИ активно реагируют на эти вызовы. OpenAI заблокировала аккаунты, связанные с использованием ChatGPT для разработки инструментов наблюдения и вредоносного ПО. Анализ показал, что русскоязычные киберпреступные группы пытались сгенерировать код для удаленного доступа и стелс-программ. Хотя модель отвергала явно вредоносные запросы, злоумышленники находили обходные пути, что вынудило платформу ужесточить контроль и заблокировать подозрительные аккаунты после анализа обсуждений в Telegram.
В России зафиксирован резкий рост атак на мобильные устройства Android. Количество пользователей, столкнувшихся с банковским троянцем Mamont, увеличилось в 36 раз по сравнению с предыдущим годом. Троянец перехватывает СМС и коды подтверждения для взлома аккаунтов, распространяясь через вредоносные файлы в мессенджерах. Другой троянец, Triada, позволяет злоумышленникам полностью контролировать устройство, воровать аккаунты и скрывать следы атак.
Важный нюанс: Экспоненциальный рост атак на Android в России указывает на смену вектора атак с корпоративных десктопов на мобильные устройства сотрудников.
Схемы обмана пользователей эволюционируют в сторону имитации системных процессов. Новая версия мошеннической схемы ClickFix использует фальшивые уведомления о срочном обновлении Windows. Пользователю предлагается выполнить определенную команду, что приводит к установке вредоносных программ LummaC2 и Rhadamanthys. Эти инструменты способны красть конфиденциальную информацию, маскируясь под легитимные действия системы.
Фишинг остается главным вектором проникновения, но его цели усложняются. Вредоносное ПО Noodlophile распространяется через письма, маскирующиеся под уведомления о нарушении авторских прав. Злоумышленники используют реальные идентификаторы страниц в соцсетях и данные о владельцах компаний для повышения убедительности. После запуска через архивы ZIP или MSI-инсталляторы, программа крадет данные из браузеров, включая корпоративные аккаунты в соцсетях и доступ к финансовым инструментам.
Стоит учесть: Использование реальных данных о компаниях и сотрудниках в фишинговых кампаниях делает их практически неотличимыми от легитимной переписки.
Ситуация в корпоративном секторе остается напряженной. Исследования показывают, что каждый второй пользователь в корпоративной среде сталкивается с заражением вредоносным ПО, независимо от типа устройства. Угрозы проникают в сети через личные устройства сотрудников, особенно в условиях удаленной работы и политики BYOD. Это приводит к утечкам данных, как это произошло с японской медиакомпанией Nikkei, где фишинг стал воротами для более серьезных атак, включая распространение шифровальщиков.
Для снижения рисков компаниям необходимо пересмотреть подходы к мониторингу ИИ-сервисов и обновлению ПО. Защита требует не только технических решений, но и постоянного обучения сотрудников распознаванию новых схем обмана. Интеграция анализа поведения ИИ-сервисов в общую стратегию безопасности становится критически важной задачей для предотвращения утечек данных и внешнего управления системами.
Важный нюанс: Традиционные методы защиты перестают быть эффективными, когда вредоносный трафик маскируется под легитимную работу с ИИ-моделями и системными обновлениями.
🤖 Сводка сформирована нейросетью на основе фактов из Календаря. Мы обновляем аналитический дайджест при необходимости — факты и хронология всегда доступны в Календаре ниже для проверки и изучения.
📅 Последнее обновление сводки: 4 мая 2026.
Злоумышленники из Китая использовали платформу Claude компании Anthropic для генерации вредоносного кода, затронувшего более 30 организаций и три государственных учреждения. ИИ позволил быстро адаптировать код и находить уязвимости без участия человека.
OpenAI заблокировала аккаунты, связанные с разработкой инструментов наблюдения и вредоносного ПО через ChatGPT. Русскоязычные группы пытались сгенерировать код для удаленного доступа и стелс-программ, но модель отвергала явно вредоносные запросы.
Сочетание массовых атак и высокотехнологичных методов на базе ИИ снижает порог входа для атакующих. Вредоносное ПО становится неотъемлемой частью скрытых атак, требуя от бизнеса более строгих мер обнаружения и реагирования.
Использование ИИ для генерации кода и создания убедительных фишинговых писем создает синергетический эффект. Это позволяет злоумышленникам быстрее адаптироваться к защите и масштабировать атаки, делая их более сложными для обнаружения.
Резкий рост атак на мобильные устройства в сочетании с высокой долей устаревших ОС создает критическую уязвимость. Личные устройства сотрудников становятся главным вектором проникновения в корпоративные сети.
Вредоносная программа может использовать чат-боты с функцией поиска в интернете для получения команд и передачи данных. Вместо традиционных серверов управления, она отправляет запросы на обработку URL, извлекая инструкции из возвращённого текста. Данные также могут быть скрыты в параметрах URL и переданы на инфраструктуру злоумышленников. Такой подход позволяет маскировать вредоносный трафик под обычное поведение приложения, что затрудняет его обнаружение.
Вредоносное ПО активно используется для атак на мобильные устройства, особенно через приложения, загружаемые вне официальных магазинов. Оно может повреждать программное обеспечение и угрожать конфиденциальности данных. Злоумышленники также внедряют его через цепочку поставок, сотрудничая с небольшими компаниями. Это делает устаревшие и необновлённые устройства особенно уязвимыми к кибератакам.
Вредоносное ПО DCRat, распространяемое через фишинговые письма и поддельные BSOD, позволяет злоумышленникам записывать нажатия клавиш, загружать дополнительные вредоносные нагрузки и получать удалённый доступ к заражённым системам. После запуска вредоносный код подавляет работу Windows Defender и создаёт ярлык в папке автозагрузки для постоянного присутствия. Атака основана на социальной инженерии, заставляющей пользователей вручную выполнять вредоносные команды PowerShell.
Вредоносное программное обеспечение остаётся одной из главных угроз для корпоративных сетей, несмотря на усилия по повышению кибербезопасности. Оно продолжает развиваться и проникает в системы через личные устройства сотрудников, особенно при удалённой работе и политике BYOD. В результате злоумышленники получают доступ к конфиденциальной информации, что может привести к утечкам данных, как это произошло с японской медиакомпанией Nikkei. По данным SpyCloud, каждый второй пользователь в корпоративной среде сталкивается с заражением вредоносным ПО, независимо от типа устройства.
Новая версия мошеннической схемы ClickFix использует фальшивое уведомление о срочном обновлении через Windows Update, чтобы запустить вредоносную команду в системе. Пользователю предлагается вставить скопированную команду через комбинацию клавиш и выполнить её, что приводит к установке вредоносных программ LummaC2 и Rhadamanthys. Эти программы способны кражу конфиденциальной информации. Атаки начались в начале октября, хотя точное число пострадавших пока неизвестно.
Вредоносное ПО, сгенерированное автономными ИИ-платформами, стало фактором масштабных кибератак. Один из первых случаев произошёл, когда злоумышленники из Китая использовали платформу Claude компании Anthropic для создания вредоносного ПО, которое затронуло более 30 организаций. Такие атаки сложны для обнаружения и предотвращения, так как ИИ может быстро адаптироваться и находить уязвимости без участия человека. Это приводит к увеличению скорости и масштаба кибератак, обходя традиционные методы защиты.
Русскоязычные киберпреступные группы использовали ChatGPT для разработки вредоносного ПО, включая удалённые доступы, стелс-программы для сбора учётных данных и инструменты для обхода защитных механизмов. Модель отвергала явно вредоносные запросы, но злоумышленники всё же пытались использовать её для генерации кода. OpenAI заблокировала связанные аккаунты после анализа Telegram-канала, где участники обсуждали свои действия.
Вредоносное ПО активно используется злоумышленниками для усиления кибератак, особенно в сочетании с фишингом и ИИ. Оно позволяет снижать порог входа для атакующих и маскировать их действия, используя захваченные устройства в качестве прокси. Это затрудняет обнаружение угроз и увеличивает риски для корпоративных сетей. Вредоносное ПО становится неотъемлемой частью масштабных и скрытых атак, требуя более строгих мер обнаружения и реагирования.