Google warnt vor KI-gestützter Malware, die auf Krypto-Nutzer abzielt

Bedrohungsakteure, einschließlich solcher mit Verbindungen zu Nordkorea, verwenden KI-fähige Malware, die sich in Echtzeit neu schreibt, um Kryptowährungsnutzer ins Visier zu nehmen, so eine Warnung, die diese Woche von Google herausgegeben wurde.

"Bedrohungsakteure, die mit der Demokratischen Volksrepublik Korea (DVRK) in Verbindung stehen, missbrauchen weiterhin generative KI-Tools, um Operationen in allen Phasen des Angriffslebenszyklus zu unterstützen, abgestimmt auf ihre Bemühungen, Kryptowährungen ins Visier zu nehmen und das Regime finanziell zu unterstützen", schrieb die Google Threat Intelligence Group in einem kürzlich veröffentlichten Bericht.

KI-gestützte Malware birgt neue Risiken für Krypto-Nutzer

Google hat mindestens fünf verschiedene Malware-Familien verfolgt, die "dynamisch bösartige Skripte generieren und ihren eigenen Code verschleiern können, um der Erkennung zu entgehen", indem sie während der Ausführung große Sprachmodelle wie Gemini und Qwen2.5-Coder verwenden.

KI-gestützte Malware ist die neue Grenze bei Cyberangriffen und stellt eine große Eskalation gegenüber früheren Ansätzen dar, bei denen bösartige Funktionen in der Regel direkt in der Malware selbst fest codiert waren.

Der neue Malware-Stamm kann seinen Code im Wesentlichen unterwegs umschreiben und anpassen, wodurch es erheblich schwieriger wird, ihn mit herkömmlichen Sicherheitstools zu erkennen und abzuschwächen.

Google hob insbesondere zwei Malware-Familien hervor, PROMPTFLUX und PROMPTSTEAL, die große Sprachmodelle direkt in ihre Abläufe integrieren, um Code zu regenerieren, Antivirensoftware zu umgehen und Befehle auf Systemebene in Echtzeit auszuführen.

PROMPTFLUX ist ein experimenteller Dropper, der die API von Gemini verwendet, um seinen VBScript-Code kontinuierlich neu zu schreiben, was es ihm ermöglicht, seine Verschleierungstaktiken aufzufrischen und Sicherheitstools zu umgehen.

Während PROMPTSTEAL, ein Data-Miner-Programm, das auf Hugging Face gehostete Qwen-Modell nutzt, um bei Bedarf Windows-Befehle zum Sammeln von Dateien und Systeminformationen zu generieren.

PROMPTSTEAL steht in direktem Zusammenhang mit der russischen APT28-Gruppe und wurde bereits im Live-Betrieb eingesetzt.

Krypto-Nutzer sind ebenfalls gefährdet, da die mit Nordkorea verbundene Gruppe UNC1069, auch bekannt als Masan, Gemini verwendet hat, "um Kryptowährungskonzepte zu erforschen und Recherchen und Erkundungen in Bezug auf den Standort der Kryptowährung Wallet Anwendungsdaten der Benutzer durchzuführen".

Laut Google ging die Gruppe noch weiter, indem sie mehrsprachige Phishing-Nachrichten verfasste und versuchte, Code zu entwickeln, der sich als Software-Updates ausgab, um Anmeldeinformationen zu stehlen und digitale Assets zu extrahieren.

Bedrohungsakteure, einschließlich Angreifern, die mit der DVRK in Verbindung stehen, haben auch KI-gestützte Tools verwendet, um Deepfake-Bilder und -Videos zu generieren, die sich als Personen aus der Kryptowährungsbranche ausgeben, als Teil von Social-Engineering-Kampagnen, die darauf abzielen, Malware zu verbreiten und Zugang zu Zielsystemen zu erhalten.

Google sagte, es habe die mit diesen Aktivitäten verbundenen Konten bereits deaktiviert, aber es bestehen immer noch Risiken, da Angreifer KI nutzen können, um maßgeschneiderte Exfiltrationsskripte, Phishing-Köder und Systembefehle zu generieren, die Krypto-Plattformen und ihre Nutzer mit weitaus größerer Präzision als zuvor ins Visier nehmen könnten.

Frühere Versuche, Krypto-Nutzer mit Malware ins Visier zu nehmen

Seit den Anfängen der Kryptoindustrie haben Angreifer verschiedene kreative Angriffsvektoren verwendet, um Schwachstellen in Plattformen, Benutzern und Infrastruktur auszunutzen.

Letzten Monat identifizierte Google in einem separaten Bericht einen weiteren Malware-Stamm namens EtherHiding, den mit Nordkorea verbundene Angreifer durch Blockchain-Smart-Contracts auf Ethereum und BNB Smart Chain durchsetzten, um heimlich bösartige Nutzlasten zu liefern.

Anfang dieses Jahres meldete Kaspersky eine weitere groß angelegte Malware-Operation, die die Softwareplattform SourceForge missbrauchte, um Krypto-Malware zu verbreiten, die als gefälschte Microsoft Office-Add-ons getarnt war, und es schaffte, über 4.600 Geräte zu infiltrieren, hauptsächlich in Russland.