Google memberi amaran tentang perisian hasad berkuasa AI yang menyasarkan pengguna kripto

Pelaku ancaman, termasuk mereka yang mempunyai hubungan dengan Korea Utara, menggunakan perisian hasad yang didayakan AI yang menulis semula dirinya dalam masa nyata untuk menyasarkan pengguna mata wang kripto, menurut amaran yang dikeluarkan minggu ini oleh Google.

"Pelaku ancaman yang dikaitkan dengan Republik Rakyat Demokratik Korea (DPRK) terus menyalahgunakan alat AI generatif untuk menyokong operasi merentasi peringkat kitaran hayat serangan, sejajar dengan usaha mereka untuk menyasarkan mata wang kripto dan memberikan sokongan kewangan kepada rejim," tulis Kumpulan Perisikan Ancaman Google dalam laporan baru-baru ini.

Perisian hasad berkuasa AI menimbulkan risiko baharu kepada pengguna kripto

Google telah menjejaki sekurang-kurangnya lima keluarga perisian hasad berbeza yang boleh "menjana skrip berniat jahat secara dinamik, mengaburkan kod mereka sendiri untuk mengelak pengesanan," menggunakan model bahasa besar seperti Gemini dan Qwen2.5-Coder semasa pelaksanaan.

Perisian hasad yang didayakan AI ialah sempadan baharu dalam serangan siber dan membentangkan peningkatan besar daripada pendekatan sebelumnya, di mana fungsi berniat jahat biasanya dikodkan terus ke dalam perisian hasad itu sendiri.

Strain perisian hasad baharu pada asasnya boleh menulis semula dan menyesuaikan kodnya semasa dalam perjalanan, sekali gus menjadikannya lebih sukar untuk mengesan dan mengurangkan menggunakan alat keselamatan tradisional.

Google secara khusus menyerlahkan dua keluarga perisian hasad, PROMPTFLUX dan PROMPTSTEAL, yang menyepadukan model bahasa besar terus ke dalam operasi mereka untuk menjana semula kod, mengelak perisian antivirus dan melaksanakan arahan peringkat sistem dalam masa nyata.

PROMPTFLUX ialah penitis eksperimen yang menggunakan API Gemini untuk menulis semula kod VBScript secara berterusan, membolehkannya menyegarkan semula taktik kekeliruannya dan melepasi alat keselamatan. 

Manakala PROMPTSTEAL, pelombong data, memanfaatkan model Qwen yang dihoskan pada Hugging Face untuk menjana arahan Windows atas permintaan untuk mengumpul fail dan maklumat sistem.

PROMPTSTEAL telah dikaitkan secara langsung dengan kumpulan APT28 Rusia dan telah pun dikerahkan dalam operasi langsung.

Pengguna kripto juga berisiko kerana kumpulan berkaitan Korea Utara UNC1069, juga dikenali sebagai Masan, telah menggunakan Gemini "untuk menyelidik konsep mata wang kripto, dan melakukan penyelidikan dan peninjauan yang berkaitan dengan lokasi data aplikasi dompet mata wang kripto pengguna."

Menurut Google, kumpulan itu melangkah lebih jauh dengan mencipta mesej pancingan data berbilang bahasa dan cuba membangunkan kod yang menyamar sebagai kemas kini perisian untuk mencuri kelayakan dan mengekstrak aset digital.

Pelaku ancaman, termasuk penyerang berkaitan DPRK, juga telah menggunakan alat berkuasa AI untuk menjana imej dan video deepfake yang menyamar sebagai individu dalam industri mata wang kripto sebagai sebahagian daripada kempen kejuruteraan sosial yang bertujuan untuk mengedarkan perisian hasad dan mendapatkan akses kepada sistem sasaran.

Google berkata ia telah melumpuhkan akaun yang terikat dengan aktiviti ini, tetapi risiko masih kekal kerana penyerang boleh menggunakan AI untuk menjana skrip eksfiltrasi yang dipesan lebih dahulu, gewang pancingan data dan arahan sistem yang boleh menyasarkan platform kripto dan penggunanya dengan ketepatan yang jauh lebih tinggi daripada sebelumnya.

Percubaan masa lalu untuk menyasarkan pengguna kripto menggunakan perisian hasad

Sejak permulaan industri kripto, penyerang telah menggunakan pelbagai vektor serangan kreatif untuk mengeksploitasi kelemahan dalam platform, pengguna dan infrastruktur.

Bulan lepas, dalam laporan berasingan, Google mengenal pasti satu lagi strain perisian hasad yang digelar EtherHiding bahawa penyerang berkaitan Korea Utara menolak kontrak pintar blockchain pada Ethereum dan BNB Smart Chain untuk menghantar muatan berniat jahat secara rahsia.

Awal tahun ini, Kaspersky menandakan satu lagi operasi perisian hasad berskala besar yang menyalahgunakan platform perisian SourceForge untuk mengedarkan perisian hasad yang menyasarkan kripto yang menyamar sebagai alat tambah Microsoft Office palsu dan berjaya menyusup ke lebih 4,600 peranti, kebanyakannya di Rusia.