Google alerta sobre malware com inteligência artificial direcionado a usuários de criptomoedas

Os agentes de ameaças, incluindo aqueles com laços com a Coreia do Norte, estão usando malware habilitado para IA que se reescreve em tempo real para atingir usuários de criptomoedas, de acordo com um aviso emitido esta semana pelo Google.

"Os agentes de ameaças associados à República Popular Democrática da Coreia (RPDC) continuam a usar indevidamente as ferramentas generativas de IA para apoiar as operações em todos os estágios do ciclo de vida do ataque, alinhados com seus esforços para atingir a criptomoeda e fornecer apoio financeiro ao regime", escreveu o Google Threat Intelligence Group em um relatório recente.

Malware alimentado por IA apresenta novos riscos para usuários de criptomoedas

O Google rastreou pelo menos cinco famílias distintas de malware que podem "gerar dinamicamente scripts maliciosos, ofuscar seu próprio código para evitar a detecção", usando grandes modelos de linguagem como Gemini e Qwen2.5-Coder durante a execução.

O malware habilitado para IA é a nova fronteira dos ataques cibernéticos e apresenta uma grande escalada em relação às abordagens anteriores, em que as funções maliciosas eram normalmente codificadas diretamente no próprio malware.

A nova variedade de malware pode essencialmente reescrever e adaptar seu código em movimento, tornando significativamente mais difícil detectar e mitigar usando ferramentas de segurança tradicionais.

O Google destacou especificamente duas famílias de malware, PROMPTFLUX e PROMPTSTEAL, que integram grandes modelos de linguagem diretamente em suas operações para regenerar código, escapar de software antivírus e executar comandos no nível do sistema em tempo real.

O PROMPTFLUX é um conta-gotas experimental que usa a API da Gemini para reescrever continuamente seu código VBScript, permitindo que ele atualize suas táticas de ofuscação e passe despercebido pelas ferramentas de segurança.

Enquanto o PROMPTSTEAL, um minerador de dados, aproveita o modelo Qwen hospedado no Hugging Face para gerar comandos do Windows sob demanda para coletar arquivos e informações do sistema.

O PROMPTSTEAL foi diretamente associado ao grupo APT28 da Rússia e já foi implantado em operações ao vivo.

Os usuários de criptomoedas também estão em risco, já que o grupo UNC1069, também conhecido como Masan, ligado à Coreia do Norte, tem usado o Gemini "para pesquisar conceitos de criptomoeda e realizar pesquisas e reconhecimento relacionados à localização dos dados de aplicativos wallet criptomoedas dos usuários".

De acordo com o Google, o grupo foi além, criando mensagens de phishing multilíngues e tentando desenvolver um código que se passasse por atualizações de software para roubar credenciais e extrair ativos digitais.

Os agentes de ameaças, incluindo invasores vinculados à RPDC, também usaram ferramentas baseadas em IA para gerar imagens e vídeos deepfake se passando por indivíduos no setor de criptomoedas como parte de campanhas de engenharia social destinadas a distribuir malware e obter acesso aos sistemas de destino.

O Google disse que já desativou as contas vinculadas a essas atividades, mas os riscos ainda permanecem, pois os invasores podem usar a IA para gerar scripts de exfiltração sob medida, iscas de phishing e comandos do sistema que podem atingir plataformas de criptomoedas e seus usuários com muito mais precisão do que antes.

Tentativas anteriores de atingir usuários de criptomoedas usando malware

Desde o início da indústria de criptomoedas, os invasores usaram vários vetores de ataque criativos para explorar vulnerabilidades em plataformas, usuários e infraestrutura.

No mês passado, em um relatório separado, o Google identificou outra variedade de malware apelidada de EtherHiding que os invasores vinculados à Coreia do Norte estavam empurrando através de contratos inteligentes de blockchain no Ethereum e BNB Smart Chain para entregar secretamente cargas maliciosas.

No início deste ano, a Kaspersky sinalizou outra operação de malware em larga escala que abusou da plataforma de software SourceForge para distribuir malware direcionado a criptomoedas disfarçado de complementos falsos do Microsoft Office e conseguiu se infiltrar em mais de 4.600 dispositivos, principalmente na Rússia.