Google avertizează cu privire la malware-ul bazat pe inteligență artificială care vizează utilizatorii de criptomonede

Actorii amenințărilor, inclusiv cei care au legături cu Coreea de Nord, folosesc malware bazat pe inteligență artificială care se rescrie în timp real pentru a viza utilizatorii de criptomonede, potrivit unui avertisment emis săptămâna aceasta de Google.

"Actorii amenințărilor asociați cu Republica Populară Democrată Coreeană (RPDC) continuă să folosească în mod abuziv instrumentele AI generative pentru a sprijini operațiunile în etapele ciclului de viață al atacului, aliniate cu eforturile lor de a viza criptomonedele și de a oferi sprijin financiar regimului", a scris Google Threat Intelligence Group într-un raport recent.

Malware-ul bazat pe inteligență artificială prezintă noi riscuri pentru utilizatorii de criptomonede

Google a urmărit cel puțin cinci familii distincte de malware care pot "genera dinamic scripturi rău intenționate, își pot ascunde propriul cod pentru a evita detectarea", folosind modele de limbaj mari, cum ar fi Gemini și Qwen2.5-Coder, în timpul execuției.

Malware-ul bazat pe inteligență artificială este noua frontieră a atacurilor cibernetice și prezintă o escaladare majoră față de abordările anterioare, în care funcțiile rău intenționate erau de obicei codificate direct în malware-ul în sine.

Noua tulpină de malware își poate rescrie și adapta codul din mers, ceea ce face semnificativ mai dificilă detectarea și atenuarea utilizării instrumentelor tradiționale de securitate.

Google a evidențiat în mod special două familii de malware, PROMPTFLUX și PROMPTSTEAL, care integrează modele de limbaj mari direct în operațiunile lor pentru a regenera codul, a evita software-ul antivirus și a executa comenzi la nivel de sistem în timp real.

PROMPTFLUX este un picurător experimental care folosește API-ul Gemini pentru a-și rescrie continuu codul VBScript, permițându-i să-și reîmprospăteze tacticile de confuzie și să treacă peste instrumentele de securitate. 

În timp ce PROMPTSTEAL, un miner de date, folosește modelul Qwen găzduit pe Hugging Face pentru a genera comenzi Windows la cerere pentru colectarea fișierelor și a informațiilor de sistem.

PROMPTSTEAL a fost asociat direct cu grupul APT28 al Rusiei și a fost deja desfășurat în operațiuni live.

Utilizatorii de criptomonede sunt, de asemenea, expuși riscului, deoarece grupul legat de Coreea de Nord UNC1069, cunoscut și sub numele de Masan, folosește Gemini "pentru a cerceta conceptele de criptomonede și pentru a efectua cercetări și recunoașteri legate de locația datelor de aplicație ale portofelului de criptomonede ale utilizatorilor".

Potrivit Google, grupul a mers mai departe, creând mesaje de phishing multilingve și încercând să dezvolte cod care să uzurpe identitatea actualizărilor de software pentru a fura acreditări și a extrage active digitale.

Actorii amenințărilor, inclusiv atacatorii legați de RPDC, au folosit, de asemenea, instrumente bazate pe inteligență artificială pentru a genera imagini și videoclipuri deepfake care uzurpează identitatea persoanelor din industria criptomonedelor, ca parte a campaniilor de inginerie socială care vizează distribuirea de malware și obținerea accesului la sistemele țintă.

Google a declarat că a dezactivat deja conturile legate de aceste activități, dar riscurile rămân în continuare, deoarece atacatorii pot folosi AI pentru a genera scripturi de exfiltrare personalizate, momeli de phishing și comenzi de sistem care ar putea viza platformele cripto și utilizatorii lor cu o precizie mult mai mare decât înainte.

Încercări anterioare de a viza utilizatorii cripto folosind malware

De la înființarea industriei cripto, atacatorii au folosit diverși vectori de atac creativi pentru a exploata vulnerabilitățile din platforme, utilizatori și infrastructură.

Luna trecută, într-un raport separat, Google a identificat o altă tulpină de malware numită EtherHiding, pe care atacatorii legați de Coreea de Nord au împins prin contracte inteligente blockchain pe Ethereum și BNB Smart Chain pentru a livra în secret sarcini utile rău intenționate.

La începutul acestui an, Kaspersky a semnalat o altă operațiune malware la scară largă care a abuzat de platforma software SourceForge pentru a distribui malware care vizează criptomonede deghizate în suplimente false Microsoft Office și a reușit să se infiltreze în peste 4.600 de dispozitive, majoritatea în Rusia.