Google varoittaa tekoälyllä toimivista haittaohjelmista, jotka kohdistuvat kryptokäyttäjiin

Googlen tällä viikolla antaman varoituksen mukaan uhkatoimijat, mukaan lukien ne, joilla on yhteyksiä Pohjois-Koreaan, käyttävät tekoälyä tukevia haittaohjelmia, jotka kirjoittavat itsensä uudelleen reaaliajassa kohdistaakseen kryptovaluuttojen käyttäjiin.

"Korean demokraattiseen kansantasavaltaan (Pohjois-Korea) liittyvät uhkatoimijat käyttävät edelleen väärin generatiivisia tekoälytyökaluja tukeakseen operaatioita hyökkäyksen elinkaaren eri vaiheissa, mikä on linjassa niiden pyrkimysten kanssa kohdistaa kryptovaluuttoja ja tarjota taloudellista tukea hallinnolle", Google Threat Intelligence Group kirjoitti tuoreessa raportissaan.

Tekoälyllä toimivat haittaohjelmat aiheuttavat uusia riskejä kryptokäyttäjille

Google on seurannut ainakin viittä erillistä haittaohjelmaperhettä, jotka voivat "dynaamisesti luoda haitallisia komentosarjoja, hämärtää omaa koodiaan välttääkseen havaitsemisen" käyttämällä suuria kielimalleja, kuten Gemini ja Qwen2.5-Coder suorituksen aikana.

Tekoälyä tukevat haittaohjelmat ovat kyberhyökkäysten uusi raja, ja ne ovat merkittävä eskalaatio aiemmista lähestymistavoista, joissa haitalliset toiminnot koodattiin tyypillisesti suoraan itse haittaohjelmaan.

Uusi haittaohjelmakanta voi olennaisesti kirjoittaa ja mukauttaa koodiaan liikkeellä ollessaan, mikä vaikeuttaa huomattavasti sen havaitsemista ja lieventämistä perinteisillä tietoturvatyökaluilla.

Google nosti erityisesti esiin kaksi haittaohjelmaperhettä, PROMPTFLUX ja PROMPTSTEAL, jotka integroivat suuret kielimallit suoraan toimintoihinsa koodin luomiseksi, virustorjuntaohjelmistojen kiertämiseksi ja järjestelmätason komentojen suorittamiseksi reaaliajassa.

PROMPTFLUX on kokeellinen tiputin, joka käyttää Geminin API:ta VBScript-koodinsa jatkuvaan uudelleenkirjoittamiseen, jolloin se voi päivittää hämärtämistaktiikkansa ja livahtaa tietoturvatyökalujen ohi.

PROMPTSTEAL, tiedonlouhija, hyödyntää Hugging Facessa isännöityä Qwen-mallia luodakseen Windows-komentoja pyynnöstä tiedostojen ja järjestelmätietojen keräämiseksi.

PROMPTSTEAL on ollut suoraan yhteydessä Venäjän APT28-ryhmään ja sitä on jo käytetty live-operaatioissa.

Kryptokäyttäjät ovat myös vaarassa, sillä Pohjois-Koreaan liittyvä UNC1069-ryhmä, joka tunnetaan myös nimellä Masan, on käyttänyt Geminiä "kryptovaluuttakonseptien tutkimiseen sekä käyttäjien kryptovaluuttalompakko sovellustietojen sijaintiin liittyvään tutkimukseen ja tiedusteluun".

Googlen mukaan ryhmä meni pidemmälle luomalla monikielisiä tietojenkalasteluviestejä ja yrittämällä kehittää koodia, joka esiintyi ohjelmistopäivityksinä varastaakseen tunnistetietoja ja poimiakseen digitaalista omaisuutta.

Uhkatoimijat, mukaan lukien Pohjois-Koreaan liittyvät hyökkääjät, ovat myös käyttäneet tekoälyllä toimivia työkaluja luodakseen syväväärennettyjä kuvia ja videoita, jotka esiintyvät kryptovaluutta-alan henkilöinä osana sosiaalisen manipuloinnin kampanjoita, joiden tarkoituksena on levittää haittaohjelmia ja päästä käsiksi kohdejärjestelmiin.

Google sanoi, että se oli jo poistanut käytöstä näihin toimintoihin liittyvät tilit, mutta riskit ovat edelleen olemassa, koska hyökkääjät voivat käyttää tekoälyä luodakseen räätälöityjä suodatuskomentosarjoja, tietojenkalasteluhoukuttimia ja järjestelmäkomentoja, jotka voivat kohdistua kryptoalustoihin ja niiden käyttäjiin paljon tarkemmin kuin ennen.

Aiemmat yritykset kohdistaa kryptokäyttäjiä haittaohjelmien avulla

Kryptoteollisuuden perustamisesta lähtien hyökkääjät ovat käyttäneet erilaisia luovia hyökkäysvektoreita hyödyntääkseen alustojen, käyttäjien ja infrastruktuurin haavoittuvuuksia.

Viime kuussa Google tunnisti erillisessä raportissa toisen haittaohjelmakannan nimeltä EtherHiding, jonka Pohjois-Koreaan liittyvät hyökkääjät työnsivät lohkoketjun älykkäitä sopimuksia Ethereumissa ja BNB Smart Chainissa toimittaakseen salaa haitallisia hyötykuormia.

Aiemmin tänä vuonna Kaspersky ilmoitti toisesta laajamittaisesta haittaohjelmasta, joka käytti väärin SourceForge-ohjelmistoalustaa levittääkseen väärennetyiksi Microsoft Office -lisäosiksi naamioituja kryptoihin kohdistuvia haittaohjelmia ja onnistui tunkeutumaan yli 4 600 laitteeseen, enimmäkseen Venäjällä.