«Новий звіт GTIG показує, що кіберзлочинці все частіше використовують LLM, щоб зробити зловмисне програмне забезпечення розумнішим, дозволяючи йому переписувати себе в режимі реального часу та націлюватися на такі цінні активи, як криптовалюта. Резюме 5 окремих сімейств зловмисного програмного забезпечення з підтримкою штучного інтелекту динамічно надсилають запити до LLM, як-от Gemini та Qwen2.5-Coder, щоб змінити або створити код під час виконання. Північнокорейська група UNC1069 (Masan) є», — пишуть на: www.crypto.news
Новий звіт GTIG показує, що кіберзлочинці все частіше використовують LLM, щоб зробити зловмисне програмне забезпечення розумнішим, дозволяючи йому переписувати себе в режимі реального часу та націлюватися на такі цінні активи, як криптовалюта.
Резюме
- 5 окремих сімейств зловмисного програмного забезпечення з підтримкою штучного інтелекту динамічно надсилають запити до LLM, як-от Gemini та Qwen2.5-Coder, щоб змінити або створити код під час виконання.
- Північнокорейська група UNC1069 (Masan) використовує штучний інтелект для дослідження криптогаманців і створення фішингових скриптів.
- Google вимкнув облікові записи, пов’язані з цією діяльністю, і посилив захист за допомогою розширеного моніторингу API та фільтрів підказок.
Новий звіт групи Google Threat Intelligence Group виявив зростаючу тенденцію, за якою кіберзлочинці та пов’язані з державою суб’єкти використовують великі мовні моделі для посилення своїх операцій із шкідливим програмним забезпеченням.
У звіті визначено 5 різних сімейств зловмисного програмного забезпечення з підтримкою штучного інтелекту, яке під час виконання запитує такі LLM, як Gemini та Qwen2.5-Coder, щоб створити, змінити або приховати шкідливий код.
Серед виявлених загроз були детально досліджені два сімейства шкідливих програм PROMPTFLUX і PROMPTSTEAL. PROMPTFLUX використовує процес «Мислячий робот», який щогодини викликає API Gemini, щоб переписати код VBScript. PROMPTSTEAL, пов’язаний з російською групою APT28, використовує модель Qwen, розміщену на Hugging Face, для створення команд Windows на вимогу, що дозволяє зловмисникам виконувати налаштовані операції без попереднього програмування кожної функції.
Ця техніка «своєчасного створення коду» дозволяє зловмисному програмному забезпеченню змінювати свою поведінку в режимі реального часу, знаменуючи відхід від традиційного створення зловмисного програмного забезпечення, яке покладається на жорстко закодовану логіку.
Зловмисне програмне забезпечення з підтримкою ШІ використовує LLM для крадіжки криптовалюти
У звіті зазначено, що ці атаки, керовані штучним інтелектом, уже активні та спрямовані на активи високої вартості, включаючи криптохолдинги.
Було також встановлено, що північнокорейська група UNC1069 (також відома як Masan) зловживала штучним інтелектом для крадіжки криптовалюти, перевіряючи криптогаманці, створюючи фішингові сценарії та створюючи цільові атаки соціальної інженерії.
Google вимкнув облікові записи, пов’язані з цією діяльністю, і запровадив суворіші заходи безпеки, зокрема розширений моніторинг API та фільтри підказок, щоб обмежити зловживання ШІ.