Google advarer om AI-drevet malware rettet mod kryptobrugere

Trusselsaktører, herunder dem med bånd til Nordkorea, bruger AI-aktiveret malware, der omskriver sig selv i realtid for at målrette mod kryptovalutabrugere, ifølge en advarsel udsendt i denne uge af Google.

"Trusselsaktører med tilknytning til Den Demokratiske Folkerepublik Korea (DPRK) fortsætter med at misbruge generative AI-værktøjer til at understøtte operationer på tværs af stadierne af angrebets livscyklus, i overensstemmelse med deres bestræbelser på at målrette kryptovaluta og yde økonomisk støtte til regimet," skrev Google Threat Intelligence Group i en nylig rapport.

AI-drevet malware udgør nye risici for kryptobrugere

Google har sporet mindst fem forskellige malware-familier, der "dynamisk kan generere ondsindede scripts, sløre deres egen kode for at undgå opdagelse" ved hjælp af store sprogmodeller som Gemini og Qwen2.5-Coder under udførelsen.

AI-aktiveret malware er den nye grænse inden for cyberangreb og udgør en stor eskalering fra tidligere tilgange, hvor ondsindede funktioner typisk blev hårdkodet direkte ind i selve malwaren.

Den nye malware-stamme kan i det væsentlige omskrive og tilpasse sin kode på farten, hvilket gør det betydeligt sværere at opdage og afbøde ved hjælp af traditionelle sikkerhedsværktøjer.

Google fremhævede specifikt to malware-familier, PROMPTFLUX og PROMPTSTEAL, som integrerer store sprogmodeller direkte i deres operationer for at regenerere kode, undgå antivirussoftware og udføre kommandoer på systemniveau i realtid.

PROMPTFLUX er en eksperimentel dropper, der bruger Geminis API til løbende at omskrive sin VBScript-kode, så den kan opdatere sin sløringstaktik og slippe forbi sikkerhedsværktøjer.

Mens PROMPTSTEAL, en dataminer, udnytter Qwen-modellen, der hostes på Hugging Face, til at generere Windows-kommandoer efter behov til indsamling af filer og systemoplysninger.

PROMPTSTEAL har været direkte forbundet med Ruslands APT28-gruppe og er allerede blevet indsat i live-operationer.

Kryptobrugere er også i fare, da den nordkoreanske gruppe UNC1069, også kendt som Masan, har brugt Gemini "til at undersøge kryptovalutakoncepter og udføre forskning og rekognoscering relateret til placeringen af brugernes kryptovaluta wallet applikationsdata."

Ifølge Google gik gruppen videre ved at udforme flersprogede phishing-beskeder og forsøge at udvikle kode, der udgav sig for at være softwareopdateringer for at stjæle legitimationsoplysninger og udtrække digitale aktiver.

Trusselsaktører, herunder nordkoreanske angribere, har også brugt AI-drevne værktøjer til at generere deepfake-billeder og videoer, der udgiver sig for at være enkeltpersoner i kryptovalutaindustrien som en del af social engineering-kampagner, der har til formål at distribuere malware og få adgang til målsystemer.

Google sagde, at det allerede havde deaktiveret de konti, der er knyttet til disse aktiviteter, men der er stadig risici, da angribere kan bruge AI til at generere skræddersyede eksfiltreringsscripts, phishing-lokkemidler og systemkommandoer, der kan målrette kryptoplatforme og deres brugere med langt større præcision end før.

Tidligere forsøg på at målrette kryptobrugere ved hjælp af malware

Siden kryptoindustriens begyndelse har angribere brugt forskellige kreative angrebsvektorer til at udnytte sårbarheder i platforme, brugere og infrastruktur.

I sidste måned identificerede Google i en separat rapport en anden malware-stamme kaldet EtherHiding, at Nordkorea-tilknyttede angribere pressede gennem blockchain-smarte kontrakter på Ethereum og BNB Smart Chain for i det skjulte at levere ondsindede nyttelaster.

Tidligere i år markerede Kaspersky en anden storstilet malware-operation, der misbrugte SourceForge-softwareplatformen til at distribuere krypto-målrettet malware forklædt som falske Microsoft Office-tilføjelser og formåede at infiltrere over 4.600 enheder, hovedsageligt i Rusland.