Google waarschuwt voor AI-aangedreven malware gericht op crypto-gebruikers

Bedreigingsactoren, waaronder degenen die banden hebben met Noord-Korea, gebruiken AI-malware die zichzelf in realtime herschrijft om gebruikers van cryptocurrency te targeten, volgens een waarschuwing die deze week door Google is uitgegeven.

"Bedreigingsactoren die banden hebben met de Democratische Volksrepubliek Korea (DVK) blijven generatieve AI-tools misbruiken om operaties in de stadia van de levenscyclus van de aanval te ondersteunen, in lijn met hun inspanningen om cryptocurrency aan te vallen en financiële steun te bieden aan het regime", schreef Google Threat Intelligence Group in een recent rapport.

AI-aangedreven malware brengt nieuwe risico's met zich mee voor crypto-gebruikers

Google heeft ten minste vijf verschillende malwarefamilies gevolgd die "dynamisch kwaadaardige scripts kunnen genereren, hun eigen code kunnen verdoezelen om detectie te ontwijken", met behulp van grote taalmodellen zoals Gemini en Qwen2.5-Coder tijdens de uitvoering.

AI-malware is de nieuwe grens in cyberaanvallen en vormt een grote escalatie ten opzichte van eerdere benaderingen, waarbij kwaadaardige functies doorgaans rechtstreeks in de malware zelf werden gecodeerd.

De nieuwe malwarestam kan in wezen zijn code onderweg herschrijven en aanpassen, waardoor het aanzienlijk moeilijker wordt om te detecteren en te beperken met behulp van traditionele beveiligingstools.

Google benadrukte specifiek twee malwarefamilies, PROMPTFLUX en PROMPTSTEAL, die grote taalmodellen rechtstreeks in hun activiteiten integreren om code te regenereren, antivirussoftware te omzeilen en opdrachten op systeemniveau in realtime uit te voeren.

PROMPTFLUX is een experimentele dropper die de API van Gemini gebruikt om zijn VBScript-code voortdurend te herschrijven, waardoor het zijn verduisteringstactieken kan vernieuwen en langs beveiligingstools kan glippen.

Terwijl PROMPTSTEAL, een dataminer, gebruikmaakt van het Qwen-model dat wordt gehost op Hugging Face om op aanvraag Windows-opdrachten te genereren voor het verzamelen van bestanden en systeeminformatie.

PROMPTSTEAL is rechtstreeks in verband gebracht met de Russische APT28-groep en is al ingezet bij live-operaties.

Crypto-gebruikers lopen ook risico, aangezien de aan Noord-Korea gelieerde groep UNC1069, ook bekend als Masan, Gemini heeft gebruikt "om cryptocurrency-concepten te onderzoeken en onderzoek en verkenning uit te voeren met betrekking tot de locatie van de cryptocurrency wallet applicatiegegevens van gebruikers."

Volgens Google ging de groep verder door meertalige phishing-berichten op te stellen en te proberen code te ontwikkelen die zich voordeed als software-updates om inloggegevens te stelen en digitale activa te extraheren.

Bedreigingsactoren, waaronder aan de DVK gelieerde aanvallers, hebben ook AI-tools gebruikt om deepfake-afbeeldingen en -video's te genereren die zich voordoen als individuen in de cryptocurrency-industrie als onderdeel van social engineering-campagnes die gericht zijn op het verspreiden van malware en het verkrijgen van toegang tot doelsystemen.

Google zei dat het de accounts die aan deze activiteiten zijn gekoppeld al had uitgeschakeld, maar er blijven risico's bestaan omdat aanvallers AI kunnen gebruiken om op maat gemaakte exfiltratiescripts, phishing-lokmiddelen en systeemopdrachten te genereren die cryptoplatforms en hun gebruikers met veel grotere precisie dan voorheen kunnen targeten.

Eerdere pogingen om crypto-gebruikers aan te vallen met behulp van malware

Sinds het ontstaan van de crypto-industrie hebben aanvallers verschillende creatieve aanvalsvectoren gebruikt om kwetsbaarheden in platforms, gebruikers en infrastructuur uit te buiten.

Vorige maand identificeerde Google in een afzonderlijk rapport een andere malwarestam genaamd EtherHiding dat aan Noord-Korea gelieerde aanvallers door blockchain-slimme contracten op Ethereum en BNB Smart Chain duwden om heimelijk kwaadaardige payloads af te leveren.

Eerder dit jaar markeerde Kaspersky een andere grootschalige malware-operatie die misbruik maakte van het SourceForge-softwareplatform om crypto-gerichte malware te verspreiden, vermomd als nep-Microsoft Office-add-ons en erin slaagde meer dan 4.600 apparaten te infiltreren, voornamelijk in Rusland.