Um novo relatório do GTIG revela que os cibercriminosos estão usando cada vez mais LLMs para tornar o malware mais inteligente, permitindo que ele se reescreva em tempo real e tenha como alvo ativos de alto valor, como criptografia.
Resumo
- Cinco famílias distintas de malware habilitadas para IA consultam dinamicamente LLMs como Gemini e Qwen2.5-Coder para modificar ou criar código durante o tempo de execução.
- O grupo norte-coreano UNC1069 (Masan) está explorando IA para investigar carteiras criptografadas e criar scripts de phishing.
- O Google desativou contas vinculadas a essas atividades e reforçou as proteções com monitoramento aprimorado de API e filtros imediatos.
Um novo relatório do Grupo de Inteligência de Ameaças do Google revelou uma tendência crescente na qual os cibercriminosos e atores ligados ao Estado estão usando grandes modelos de linguagem para turbinar suas operações de malware.
O relatório identificou cinco famílias distintas de malware habilitado para IA que consultam LLMs como Gemini e Qwen2.5-Coder durante o tempo de execução para gerar, modificar ou ocultar código malicioso.
Entre as ameaças identificadas, duas famílias de malware PROMPTFLUX e PROMPTSTEAL foram examinadas detalhadamente. PROMPTFLUX usa um processo “Thinking Robot” que chama a API do Gemini de hora em hora para reescrever seu código VBScript. PROMPTSTEAL, ligado ao grupo russo APT28, aproveita o modelo Qwen hospedado no Hugging Face para gerar comandos do Windows sob demanda, o que permite que invasores executem operações personalizadas sem pré-programar cada função.
Essa técnica de “criação de código just-in-time” permite que o malware modifique seu comportamento em tempo real, marcando uma mudança na criação tradicional de malware, que depende de lógica codificada.
Malware habilitado para IA explora LLMs para roubo de criptografia
O relatório observou que esses ataques conduzidos por IA já estão ativos e têm como alvo ativos de alto valor, incluindo ativos criptográficos.
Ele também descobriu que o grupo norte-coreano UNC1069 (também conhecido como Masan) tem usado indevidamente a IA para conduzir roubo de criptografia, investigando carteiras criptografadas, criando scripts de phishing e elaborando ataques direcionados de engenharia social.
O Google desativou contas vinculadas a essas atividades e implementou proteções mais rígidas, incluindo monitoramento aprimorado de API e filtros imediatos, para limitar o uso indevido de IA.
Fontecrypto.news
