UM Googlepor meio do seu grupo de inteligência de ameaças, emitido na última quarta-feira hum relatório detalhando a descoberta de novas cepas de malware que possuem a capacidade de se conectar a modelos de inteligência artificial generativa para aperfeiçoar suas operações em tempo real, demonstrando uma evolução na arquitetura de ataques digitais.
Uma das três cepas de malware identificados eles operações reais, denominados Cofre Silenciosofoi especificamente projetado para realizar o roubo de credenciais de Conecte-se em sistemas PC com Windowsutilizando o auxílio de um Alerta de IA e ferramentas CLI de IA não instaladas hospedar para procurar outros segredos potenciais no sistema infectado e efetuar a exfiltração desses arquivos para o atacante, conforme detalhado no relatório da Google sem que a empresa forneçasse maiores informações.
Outra cepa, batizada de Fluxo imediatoapresenta características de trabalho experimental por parte de hackers e utiliza um API pai Google para interagir com o bot de bate-papo Gêmeosbuscando a alteração do seu próprio código de computador com o objetivo de evitar a detecção por programas de antivírus. O componente que mais se destaca no Fluxo imediato é o seu módulo denominado “Robô pensante,” concebido para consultar o Gêmeos de forma periódico e obter código novo, possibilitando a reescrita do código-fonte inteiro do malware em base horário para manter a evasão, por meio de consultas como “Fornecer uma função ou bloco de código VBScript único, pequeno e independente que ajude a evitar a detecção de antivírus” enviado ao modelo, mesmo com a Google tendo tomado medidas para desativar os ativos associados a essa atividade e implementar salvaguardas no Gêmeos antes que o malware demonstrar capacidade de comprometer uma rede ou dispositivo da vítima.
Promptsteal e o uso de LLM chinês em importações patrocinadas
A terceira cepa, Roubo imediatoque como autoridades cibernéticas ucranianas sinalizaram em julhofoi o primeiro uso de malware assista em operações ativa consultando um LLM (Modelo de linguagem grande); este malware se conecta ao modelo Qwendesenvolvido pela Grupo Alibabauma empresa chinesa. Operando como um troianoó Roubo imediato se apresenta como um programa de geração de imagem e, após a instalação, gera comandos para serem executados em vez de ter comandos codificado diretamente no próprio malwareexecutando o resultado dos comandos localmente e exfiltrando a informação, sendo provavelmente o trabalho do grupo APT28também conhecido como Urso chique perfil do grupoorganização de hackear ligada ao estado russo.
Questionamentos sobre a ameaça real e a motivação do ataque
O pesquisador de segurança Marcus Hutchinsque auxiliou no desligamento do ataque de ransomware Quero chorar eles 2017 lembre-se do casolevantou questionamentos não LinkedIn análise do pesquisador sobre a ameaça real representada pelo malware gerado por IA descoberto, mencionando que os avisos utilizados são pouco práticos e não especificam o que o bloco de código deve fazer ou o modo como ele evitará um antivírus. UM Google afirma que o Fluxo imediato pertence a cibercriminosos com aplicação financeiraenquanto o Roubo imediato é designado a um grupo com apoio de estado.
