Google varnar för AI-driven skadlig programvara som riktar sig till kryptoanvändare

Hotaktörer, inklusive de med kopplingar till Nordkorea, använder AI-aktiverad skadlig kod som skriver om sig själv i realtid för att rikta in sig på kryptovalutaanvändare, enligt en varning som utfärdades denna vecka av Google.

"Hotaktörer associerade med Demokratiska Folkrepubliken Korea (Nordkorea) fortsätter att missbruka generativa AI-verktyg för att stödja operationer i alla stadier av attackens livscykel, i linje med deras ansträngningar att rikta in sig på kryptovaluta och ge ekonomiskt stöd till regimen", skrev Google Threat Intelligence Group i en färsk rapport.

AI-driven skadlig programvara utgör nya risker för kryptoanvändare

Google har spårat minst fem olika malware-familjer som kan "dynamiskt generera skadliga skript, fördunkla sin egen kod för att undvika upptäckt", med hjälp av stora språkmodeller som Gemini och Qwen2.5-Coder under körningen.

AI-aktiverad skadlig kod är den nya frontlinjen för cyberattacker och utgör en stor upptrappning från tidigare tillvägagångssätt, där skadliga funktioner vanligtvis hårdkodades direkt i själva skadlig kod.

Den nya malware-stammen kan i princip skriva om och anpassa sin kod när du är på språng, vilket gör den betydligt svårare att upptäcka och mildra med traditionella säkerhetsverktyg.

Google lyfte särskilt fram två skadliga programfamiljer, PROMPTFLUX och PROMPTSTEAL, som integrerar stora språkmodeller direkt i sin verksamhet för att regenerera kod, undvika antivirusprogram och utföra kommandon på systemnivå i realtid.

PROMPTFLUX är en experimentell droppare som använder Geminis API för att kontinuerligt skriva om sin VBScript-kod, vilket gör att den kan uppdatera sina mörkläggningstaktiker och glida förbi säkerhetsverktyg.

Medan PROMPTSTEAL, en dataminer, utnyttjar Qwen-modellen som finns på Hugging Face för att generera Windows-kommandon på begäran för att samla in filer och systeminformation.

PROMPTSTEAL har varit direkt associerad med Rysslands APT28-grupp och har redan satts in i skarpa operationer.

Kryptoanvändare är också i riskzonen eftersom den Nordkorea-kopplade gruppen UNC1069, även känd som Masan, har använt Gemini "för att undersöka kryptovalutakoncept och utföra forskning och rekognoscering relaterad till platsen för användarnas kryptovaluta plånbok applikationsdata."

Enligt Google gick gruppen ett steg längre genom att skapa flerspråkiga nätfiskemeddelanden och försöka utveckla kod som utgav sig för att vara programuppdateringar för att stjäla autentiseringsuppgifter och extrahera digitala tillgångar.

Hotaktörer, inklusive angripare med kopplingar till Nordkorea, har också använt AI-drivna verktyg för att generera deepfake-bilder och videor som utger sig för att vara individer i kryptovalutaindustrin som en del av sociala ingenjörskampanjer som syftar till att distribuera skadlig kod och få tillgång till målsystem.

Google sa att de redan hade inaktiverat konton som är knutna till dessa aktiviteter, men riskerna kvarstår fortfarande eftersom angripare kan använda AI för att generera skräddarsydda exfiltreringsskript, phishing-lockbeten och systemkommandon som kan rikta in sig på kryptoplattformar och deras användare med mycket större precision än tidigare.

Tidigare försök att rikta in sig på kryptoanvändare med hjälp av skadlig kod

Sedan starten av kryptoindustrin har angripare använt olika kreativa attackvektorer för att utnyttja sårbarheter i plattformar, användare och infrastruktur.

Förra månaden, i en separat rapport, identifierade Google en annan skadlig stam kallad EtherHiding som Nordkorea-kopplade angripare drev igenom blockchain smarta kontrakt på Ethereum och BNB Smart Chain för att i hemlighet leverera skadliga nyttolaster.

Tidigare i år flaggade Kaspersky för en annan storskalig malware-operation som missbrukade mjukvaruplattformen SourceForge för att distribuera skadlig kod som riktar sig mot krypto förklädd till falska Microsoft Office-tillägg och lyckades infiltrera över 4 600 enheter, mestadels i Ryssland.