Google تحذر من البرامج الضارة التي تعمل بالذكاء الذكاء الاصطناعي والتي تستهدف مستخدمي العملات المشفرة

تستخدم الجهات الفاعلة في التهديد، بما في ذلك تلك التي تربطها صلات بكوريا الشمالية، برامج ضارة تدعم الذكاء الاصطناعي تعيد كتابة نفسها في الوقت الفعلي لاستهداف مستخدمي العملات المشفرة، وفقا لتحذير أصدرته جوجل هذا الأسبوع.

وكتبت مجموعة جوجل لاستخبارات التهديدات في تقرير حديث: "تواصل جهات التهديد المرتبطة بجمهورية كوريا الشعبية الديمقراطية (كوريا الديمقراطية) إساءة استخدام أدوات الذكاء الاصطناعي التوليدي لدعم العمليات عبر مراحل دورة حياة الهجوم ، بما يتماشى مع جهودهم لاستهداف العملات المشفرة وتقديم الدعم المالي للنظام".

تشكل البرامج الضارة التي تعمل بالذكاء الذكاء الاصطناعي مخاطر جديدة على مستخدمي العملات المشفرة

تتبعت Google ما لا يقل عن خمس عائلات برامج ضارة متميزة يمكنها "إنشاء نصوص ضارة ديناميكيا ، وتشويش التعليمات البرمجية الخاصة بها للتهرب من الكشف" ، باستخدام نماذج لغة كبيرة مثل Gemini و Qwen2.5-Coder أثناء التنفيذ.

البرامج الضارة التي تدعم الذكاء الاصطناعي هي الحدود الجديدة في الهجمات الإلكترونية وتقدم تصعيدا كبيرا من الأساليب السابقة ، حيث عادة ما يتم ترميز الوظائف الضارة مباشرة في البرامج الضارة نفسها.

يمكن لسلالة البرامج الضارة الجديدة إعادة كتابة التعليمات البرمجية الخاصة بها وتكييفها أثناء التنقل ، مما يجعل اكتشافها والتخفيف من حدتها أكثر صعوبة باستخدام أدوات الأمان التقليدية.

سلطت Google الضوء على وجه التحديد على عائلتين من البرامج الضارة ، PROMPTFLUX و PROMPTSTEAL ، والتي تدمج نماذج اللغة الكبيرة مباشرة في عملياتها لإعادة إنشاء التعليمات البرمجية ، والتهرب من برامج مكافحة الفيروسات ، وتنفيذ الأوامر على مستوى النظام في الوقت الفعلي.

PROMPTFLUX هي قطارة تجريبية تستخدم واجهة برمجة تطبيقات Gemini لإعادة كتابة كود VBScript الخاص بها باستمرار ، مما يسمح لها بتحديث أساليب التعتيم الخاصة بها والتسلل إلى أدوات الأمان الماضية. 

بينما يستفيد PROMPTSTEAL ، عامل منجم البيانات ، من نموذج Qwen المستضاف على Hugging Face لإنشاء أوامر Windows عند الطلب لجمع الملفات ومعلومات النظام.

ارتبطت PROMPTSTEAL بشكل مباشر بمجموعة APT28 الروسية وتم نشرها بالفعل في العمليات الحية.

كما أن مستخدمي العملات المشفرة معرضون للخطر حيث تستخدم مجموعة UNC1069 المرتبطة بكوريا الشمالية، والمعروفة أيضا باسم ماسان، الجوزاء "للبحث عن مفاهيم العملات المشفرة، وإجراء البحوث والاستطلاع المتعلقة بموقع بيانات تطبيق محفظة العملات المشفرة للمستخدمين".

وفقا ل Google ، ذهبت المجموعة إلى أبعد من ذلك من خلال صياغة رسائل تصيد متعددة اللغات ومحاولة تطوير رمز ينتحل صفة تحديثات البرامج من أجل سرقة بيانات الاعتماد واستخراج الأصول الرقمية.

كما استخدمت الجهات الفاعلة في التهديد ، بما في ذلك المهاجمين المرتبطين بكوريا الديمقراطية ، أدوات مدعومة بالذكاء الذكاء الاصطناعي لإنشاء صور ومقاطع فيديو مزيفة للغاية تنتحل صفة الأفراد في صناعة العملات المشفرة كجزء من حملات الهندسة الاجتماعية التي تهدف إلى توزيع البرامج الضارة والوصول إلى الأنظمة المستهدفة.

قالت Google إنها قامت بالفعل بتعطيل الحسابات المرتبطة بهذه الأنشطة ، ولكن لا تزال المخاطر قائمة حيث يمكن للمهاجمين استخدام الذكاء الاصطناعي لإنشاء نصوص تسلل مخصصة ، وإغراءات التصيد الاحتيالي ، وأوامر النظام التي يمكن أن تستهدف منصات التشفير ومستخدميها بدقة أكبر بكثير من ذي قبل.

المحاولات السابقة لاستهداف مستخدمي العملات المشفرة باستخدام البرامج الضارة

منذ بداية صناعة التشفير ، استخدم المهاجمون العديد من نواقل الهجوم الإبداعية لاستغلال نقاط الضعف في الأنظمة الأساسية والمستخدمين والبنية التحتية.

في الشهر الماضي ، في تقرير منفصل ، حددت Google سلالة أخرى من البرامج الضارة يطلق عليها اسم EtherHiding والتي كان المهاجمون المرتبطون بكوريا الشمالية يدفعون من خلال عقود blockchain الذكية على Ethereum و BNB Smart Chain لتقديم حمولات ضارة سرا.

وفي وقت سابق من هذا العام، أشارت كاسبرسكي إلى عملية أخرى واسعة النطاق للبرامج الضارة أساءت استخدام منصة برمجيات سورس فورج لتوزيع برامج ضارة تستهدف العملات المشفرة متخفية في شكل إضافات مزيفة من مايكروسوفت أوفيس وتمكنت من التسلل إلى أكثر من 4600 جهاز، معظمها في روسيا.