O Google alertou que várias novas famílias de malware agora estão usando modelos de linguagem de grande porte (LLMs) durante a execução para modificar ou gerar código, marcando uma nova fase no uso da inteligência artificial por agentes criminosos e ligados a Estados em operações ativas e que têm criptomoedas como alvos.
Em um relatório divulgado nesta semana, o Google Threat Intelligence Group (GTIG) afirmou ter rastreado pelo menos cinco variantes distintas de malware com suporte de IA, algumas das quais já estão sendo usadas em ataques ativos e em andamento.
As novas famílias de malware são identificadas como “geram scripts maliciosos dinamicamente, ofuscam seu próprio código para evitar detecção” e também utilizam modelos de IA para criar funções maliciosas sob demanda, em vez de terem essas funções pré-codificadas nos pacotes de malware, segundo o grupo de inteligência de ameaças.
Cada variante faz uso de um modelo externo, como o Gemini (do Google) ou o Qwen2.5-Coder, durante o tempo de execução, para gerar ou ofuscar código — um método que o GTIG chamou de “criação de código just-in-time”.
Essa técnica representa uma mudança em relação ao design tradicional de malware, no qual a lógica maliciosa é codificada diretamente no arquivo binário.
Ao terceirizar partes de sua funcionalidade para um modelo de IA, o malware pode alterar continuamente seu código para se fortalecer contra sistemas de defesa específicos para detê-lo.
Duas das famílias de malware, chamadas PROMPTFLUX e PROMPTSTEAL, demonstram como agentes de ameaças estão integrando modelos de IA diretamente em suas operações.
O relatório técnico do GTIG descreve como o PROMPTFLUX executa um processo chamado “Robô Pensante” que chama a API do Gemini a cada hora para reescrever seu próprio código VBScript, enquanto o PROMPTSTEAL — associado ao grupo russo APT28 — utiliza o modelo Qwen, hospedado no Hugging Face, para gerar comandos do Windows sob demanda.
O grupo também participou de um grupo norte-coreano conhecido como UNC1069 (Masan), que abusou de Gemini.
A unidade de pesquisa do Google descreveu o grupo como “um agente de ameaça norte-coreano conhecido por liderar campanhas de roubo de criptomoedas baseadas em engenharia social”, com uso notável de “linguagem relacionada à manutenção de computadores e coleta de credenciais”.
Segundo o Google, as consultas do grupo ao Gemini incluíram instruções para localizar dados de aplicativos de carteira digital, gerar scripts para acessar armazenamento criptografado e criar conteúdo de phishing multilíngue direcionado a funcionários de corretoras de criptomoedas.
Essas atividades, acrescentou o relatório, pretendem fazer parte de uma tentativa mais ampla de desenvolver códigos capazes de roubar ativos digitais.
O Google informou que já desativou as contas associadas a essas atividades e implementou novas medidas de segurança para limitar o uso indevido dos modelos, incluindo filtros de prompt aprimorados e monitoramento mais rigoroso do acesso à API.
As descobertas apontam para uma nova superfície de ataque, em que os malwares podem consultar modelos de linguagem em tempo real para localizar carteiras digitais, gerar scripts personalizados de exfiltração e criar iscas de phishing altamente convincentes.
Ó local Descriptografar Informou ter procurado o Google para comentar como esse novo modelo pode mudar as abordagens de modelagem e atribuição de ameaças, mas ainda não recebeu resposta.
* Traduzido e editado com autorização do Descriptografar.
- Por que apenas comprar quando você pode multiplicar? Invista com o MB e ganhe até 11% de cashback em Bitcoin. Abra sua conta e aproveite o Super Cashback!
Fonteportaldobitcoin
