Google, kripto kullanıcılarını hedef alan yapay zeka destekli kötü amaçlı yazılımlara karşı uyardı

Google tarafından bu hafta yayınlanan bir uyarıya göre, Kuzey Kore ile bağları olanlar da dahil olmak üzere tehdit aktörleri, kripto para birimi kullanıcılarını hedeflemek için gerçek zamanlı olarak kendini yeniden yazan yapay zeka destekli kötü amaçlı yazılımlar kullanıyor.

Google Tehdit İstihbarat Grubu yakın tarihli bir raporunda, "Kore Demokratik Halk Cumhuriyeti (KDHC) ile ilişkili tehdit aktörleri, kripto para birimini hedefleme ve rejime mali destek sağlama çabalarıyla uyumlu olarak, saldırı yaşam döngüsünün aşamaları boyunca operasyonları desteklemek için üretken yapay zeka araçlarını kötüye kullanmaya devam ediyor" diye yazdı.

Yapay zeka destekli kötü amaçlı yazılımlar kripto kullanıcıları için yeni riskler oluşturuyor

Google, yürütme sırasında Gemini ve Qwen2.5-Coder gibi büyük dil modellerini kullanarak "dinamik olarak kötü amaçlı komut dosyaları oluşturabilen, tespit edilmekten kaçınmak için kendi kodlarını gizleyebilen" en az beş farklı kötü amaçlı yazılım ailesini izledi.

Yapay zeka destekli kötü amaçlı yazılımlar, siber saldırılarda yeni bir sınırdır ve kötü amaçlı işlevlerin genellikle doğrudan kötü amaçlı yazılımın kendisine sabit kodlandığı önceki yaklaşımlara göre büyük bir artış sunar.

Yeni kötü amaçlı yazılım türü, hareket halindeyken kodunu esasen yeniden yazabilir ve uyarlayabilir, böylece geleneksel güvenlik araçlarını kullanarak tespit edilmesini ve hafifletilmesini önemli ölçüde zorlaştırır.

Google, kodu yeniden oluşturmak, antivirüs yazılımından kaçınmak ve sistem düzeyindeki komutları gerçek zamanlı olarak yürütmek için büyük dil modellerini doğrudan operasyonlarına entegre eden iki kötü amaçlı yazılım ailesi olan PROMPTFLUX ve PROMPTSTEAL'i özellikle vurguladı.

PROMPTFLUX, VBScript kodunu sürekli olarak yeniden yazmak için Gemini'nin API'sini kullanan, gizleme taktiklerini yenilemesine ve güvenlik araçlarını aşmasına olanak tanıyan deneysel bir damlalıktır. 

Bir veri madencisi olan PROMPTSTEAL, dosya ve sistem bilgilerini toplamak için talep üzerine Windows komutları oluşturmak için Hugging Face'te barındırılan Qwen modelinden yararlanır.

PROMPTSTEAL, Rusya'nın APT28 grubuyla doğrudan ilişkilendirildi ve halihazırda canlı operasyonlarda konuşlandırıldı.

Masan olarak da bilinen Kuzey Kore bağlantılı UNC1069 grubu Gemini'yi "kripto para birimi kavramlarını araştırmak ve kullanıcıların kripto para cüzdanı uygulama verilerinin konumuyla ilgili araştırma ve keşif yapmak için" kullandığından, kripto kullanıcıları da risk altında.

Google'a göre grup, çok dilli kimlik avı mesajları hazırlayarak ve kimlik bilgilerini çalmak ve dijital varlıkları çıkarmak için yazılım güncellemelerini taklit eden kodlar geliştirmeye çalışarak daha da ileri gitti.

Kuzey Kore bağlantılı saldırganlar da dahil olmak üzere tehdit aktörleri, kötü amaçlı yazılım dağıtmayı ve hedef sistemlere erişim sağlamayı amaçlayan sosyal mühendislik kampanyalarının bir parçası olarak kripto para endüstrisindeki bireylerin kimliğine bürünen deepfake görüntüler ve videolar oluşturmak için yapay zeka destekli araçlar da kullandı.

Google, bu faaliyetlere bağlı hesapları zaten devre dışı bıraktığını söyledi ancak saldırganlar, kripto platformlarını ve kullanıcılarını eskisinden çok daha hassas bir şekilde hedef alabilecek ısmarlama sızma komut dosyaları, kimlik avı tuzakları ve sistem komutları oluşturmak için yapay zekayı kullanabildiğinden riskler hala devam ediyor.

Kötü amaçlı yazılım kullanarak kripto kullanıcılarını hedef almaya yönelik geçmiş girişimler

Kripto endüstrisinin başlangıcından bu yana saldırganlar platformlardaki, kullanıcılardaki ve altyapıdaki güvenlik açıklarından yararlanmak için çeşitli yaratıcı saldırı vektörleri kullandılar.

Geçen ay, ayrı bir raporda Google, Kuzey Kore bağlantılı saldırganların kötü amaçlı yükleri gizlice teslim etmek için Ethereum ve BNB Smart Chain'deki blockchain akıllı sözleşmelerini zorladığı EtherHiding adlı başka bir kötü amaçlı yazılım türü tespit etti.

Bu yılın başlarında Kaspersky, sahte Microsoft Office eklentileri kılığına girmiş kripto hedefli kötü amaçlı yazılımları dağıtmak için SourceForge yazılım platformunu kötüye kullanan ve çoğu Rusya'da olmak üzere 4.600'den fazla cihaza sızmayı başaran başka bir büyük ölçekli kötü amaçlı yazılım operasyonunu işaretledi .