Google ostrzega przed złośliwym oprogramowaniem opartym na sztucznej inteligencji atakującym użytkowników kryptowalut

Cyberprzestępcy, w tym ci powiązani z Koreą Północną, używają złośliwego oprogramowania obsługującego sztuczną inteligencję, które przepisuje się w czasie rzeczywistym, aby atakować użytkowników kryptowalut, zgodnie z ostrzeżeniem wydanym w tym tygodniu przez Google.

"Cyberprzestępcy powiązani z Koreańską Republiką Ludowo-Demokratyczną (KRLD) nadal nadużywają narzędzi generatywnej sztucznej inteligencji do wspierania operacji na wszystkich etapach cyklu życia ataku, zgodnie z ich wysiłkami na rzecz zwalczania kryptowaluty i zapewnienia wsparcia finansowego reżimowi" – napisała Google Threat Intelligence Group w niedawnym raporcie.

Złośliwe oprogramowanie oparte na sztucznej inteligencji stwarza nowe zagrożenia dla użytkowników kryptowalut

Google śledził co najmniej pięć różnych rodzin złośliwego oprogramowania, które mogą "dynamicznie generować złośliwe skrypty, zaciemniać własny kod, aby uniknąć wykrycia", używając podczas wykonywania dużych modeli językowych, takich jak Gemini i Qwen2.5-Coder.

Złośliwe oprogramowanie wykorzystujące sztuczną inteligencję stanowi nową granicę w cyberatakach i stanowi znaczną eskalację w porównaniu z poprzednimi podejściami, w których złośliwe funkcje były zwykle zakodowane bezpośrednio w samym złośliwym oprogramowaniu.

Nowy szczep złośliwego oprogramowania może zasadniczo przepisać i dostosować swój kod w ruchu, co znacznie utrudnia jego wykrycie i złagodzenie przy użyciu tradycyjnych narzędzi bezpieczeństwa.

Google zwrócił szczególną uwagę na dwie rodziny złośliwego oprogramowania, PROMPTFLUX i PROMPTSTEAL, które integrują duże modele językowe bezpośrednio ze swoimi operacjami w celu regeneracji kodu, omijania oprogramowania antywirusowego i wykonywania poleceń na poziomie systemu w czasie rzeczywistym.

PROMPTFLUX to eksperymentalny dropper, który wykorzystuje API Gemini do ciągłego przepisywania kodu VBScript, co pozwala mu odświeżyć taktykę zaciemniania i ominąć narzędzia bezpieczeństwa.

Podczas gdy PROMPTSTEAL, koparka danych, wykorzystuje model Qwen hostowany na Hugging Face do generowania poleceń systemu Windows na żądanie w celu zbierania plików i informacji o systemie.

PROMPTSTEAL jest bezpośrednio powiązany z rosyjską grupą APT28 i został już wykorzystany w operacjach na żywo.

Użytkownicy kryptowalut są również zagrożeni, ponieważ powiązana z Koreą Północną grupa UNC1069, znana również jako Masan, używa Gemini "do badania koncepcji kryptowalut oraz prowadzenia badań i rekonesansu związanych z lokalizacją danych portfel kryptowalut aplikacji użytkowników".

Według Google, grupa poszła dalej, tworząc wielojęzyczne wiadomości phishingowe i próbując opracować kod, który podszywał się pod aktualizacje oprogramowania w celu kradzieży danych uwierzytelniających i wydobycia zasobów cyfrowych.

Cyberprzestępcy, w tym napastnicy powiązani z KRLD, wykorzystywali również narzędzia oparte na sztucznej inteligencji do generowania obrazów i filmów typu deepfake podszywających się pod osoby z branży kryptowalut w ramach kampanii socjotechnicznych mających na celu dystrybucję złośliwego oprogramowania i uzyskanie dostępu do systemów docelowych.

Google powiedział, że wyłączył już konta powiązane z tymi działaniami, ale ryzyko nadal pozostaje, ponieważ atakujący mogą wykorzystywać sztuczną inteligencję do generowania niestandardowych skryptów eksfiltracji, przynęt phishingowych i poleceń systemowych, które mogą atakować platformy kryptowalutowe i ich użytkowników ze znacznie większą precyzją niż wcześniej.

Wcześniejsze próby atakowania użytkowników kryptowalut za pomocą złośliwego oprogramowania

Od początku istnienia branży kryptograficznej osoby atakujące wykorzystywały różne kreatywne wektory ataków, aby wykorzystać luki w zabezpieczeniach platform, użytkowników i infrastruktury.

W zeszłym miesiącu, w osobnym raporcie, Google zidentyfikował inny szczep złośliwego oprogramowania o nazwie EtherHideing, w którym atakujący powiązani z Koreą Północną forsowali inteligentne kontrakty blockchain na Ethereum i Binance Smart Chain, aby potajemnie dostarczać złośliwe ładunki.

Na początku tego roku Kaspersky oznaczył kolejną zakrojoną na szeroką skalę operację szkodliwego oprogramowania, która wykorzystywała platformę oprogramowania SourceForge do dystrybucji szkodliwego oprogramowania atakującego kryptowaluty podszywającego się pod fałszywe dodatki do pakietu Microsoft Office i zdołała przeniknąć do ponad 4 600 urządzeń, głównie w Rosji.