Google dijo el miércoles que descubrió un actor de amenazas desconocido que utilizaba un malware real Visual Basic Script (VB Script) denominado PROMPTFLUX que interactúa con su API maniquí de inteligencia fabricado (IA) Gemini para escribir su propio código fuente para mejorar la ofuscación y la despreocupación.
“PROMPTFLUX está escrito en VBScript e interactúa con la API de Gemini para solicitar técnicas específicas de ofuscación y despreocupación de VBScript para proporcionar la automodificación ‘cabal a tiempo’, probablemente para esquivar la detección estática basada en firmas”, dijo Google Threat Intelligence Group (GTIG) en un noticia compartido con The Hacker News.
La novedosa característica es parte de su componente “Thinking Androide”, que consulta periódicamente el maniquí de jerigonza excelso (LLM), Gemini 1.5 Flash o posterior en este caso, para obtener nuevo código y evitar la detección. Esto, a su vez, se logra mediante el uso de una secreto API codificada para mandar la consulta al punto final de la API de Gemini.
El mensaje enviado al maniquí es muy específico y analizable por máquina, solicita cambios en el código de VB Script para esquivar el antivirus e indica al maniquí que genere solo el código en sí.
Dejando a un banda la capacidad de regeneración, el malware vigilante la nueva traducción ofuscada en la carpeta de inicio de Windows para establecer persistencia e intenta propagarse copiándose en unidades extraíbles y posibles compartidos de red mapeados.
“Aunque la función de automodificación (AttemptToUpdateSelf) está comentada, su presencia, combinada con el registro activo de las respuestas de la IA a ‘%TEMP%thinking_robot_log.txt’, indica claramente el objetivo del autor de crear un script metamórfico que pueda progresar con el tiempo”, añadió Google.
El hércules tecnológico además dijo que descubrió múltiples variaciones de PROMPTFLUX que incorporan regeneración de código impulsada por LLM, y una traducción utiliza un mensaje para reescribir todo el código fuente del malware cada hora indicando al LLM que actúe como un “ofuscador experimentado de VB Script”.
Se considera que PROMPTFLUX se encuentra en grado de explicación o prueba, y el malware actualmente carece de medios para comprometer la red o el dispositivo de la víctima. Actualmente no se sabe quién está detrás del malware, pero los indicios apuntan a un actor de amenazas motivado financieramente que ha acogido un enfoque amplio, independiente de la geogonia y la industria para atacar a una amplia grado de usuarios.
Google además señaló que los adversarios están yendo más allá de utilizar la IA para obtener simples ganancias de productividad y crear herramientas que sean capaces de ajustar su comportamiento en medio de la ejecución, sin mencionar el explicación de herramientas diseñadas específicamente para luego venderlas en foros clandestinos para obtener ganancias financieras. Algunos de los otros casos de malware impulsado por LLM observados por la empresa son los siguientes:
- CÁSCARA DE FRUTAun shell inverso escrito en PowerShell que incluye mensajes codificados para evitar la detección o el disección de los sistemas de seguridad basados en LLM.
- BLOQUEO INMEDIATAun ransomware multiplataforma escrito en Go que utiliza un LLM para suscitar y ejecutar dinámicamente scripts Lua maliciosos en tiempo de ejecución (identificado como una prueba de concepto)
- ROBO INMEDIATA (además conocido como LAMEHUG), un minero de datos utilizado por el actor patrocinado por el estado ruso APT28 en ataques dirigidos a Ucrania que consulta Qwen2.5-Coder-32B-Instruct para suscitar comandos para su ejecución a través de la API para Hugging Face
- QUIETVAULTun carterista de credenciales escrito en JavaScript que apunta a tokens de GitHub y NPM
Desde el punto de pinta de Gemini, la compañía dijo que observó a un actor de amenazas del ilación con China abusando de su utensilio de inteligencia fabricado para crear contenido atractivo convincente, construir infraestructura técnica y diseñar herramientas para la filtración de datos.
En al menos un caso, se dice que el actor de la amenaza reformuló sus indicaciones identificándose como participante en un prueba de captura de bandera (CTF) para sortear las barreras de seguridad y engañar al sistema de inteligencia fabricado para que devuelva información útil que puede aprovecharse para explotar un punto final comprometido.
“El actor pareció memorizar de esta interacción y utilizó el pretexto CTF para apoyar el phishing, la explotación y el explicación de web shell”, dijo Google. “El actor precedió muchas de sus indicaciones sobre la explotación de software y servicios de correo electrónico específicos con comentarios como ‘Estoy trabajando en un problema de CTF’ o ‘Actualmente estoy en un CTF y vi a cierto de otro equipo afirmar…’ Este enfoque brindó consejos sobre los próximos pasos de explotación en un ‘tablado CTF'”.
A continuación se enumeran otros casos de exceso de Gemini por parte de actores patrocinados por estados de China, Irán y Corea del Boreal para optimizar sus operaciones, incluido el gratitud, la creación de señuelos de phishing, el explicación de comando y control (C2) y la exfiltración de datos:
- El uso indebido de Gemini por parte de un supuesto actor del ilación con China en diversas tareas, que van desde realizar un gratitud auténtico de objetivos de interés y técnicas de phishing hasta entregar cargas avíos y agenciárselas presencia sobre movimientos laterales y métodos de exfiltración de datos.
- El mal uso de Géminis por parte del actor-estado-nación iraní APT41 para obtener ayuda sobre la ofuscación de código y el explicación de código C++ y Golang para múltiples herramientas, incluido un entorno C2 llamado OSSTUN
- El mal uso de Géminis por parte del actor-estado-nación iraní FangosoAgua (además conocido como Mango Sandstorm, MUDDYCOAST o TEMP.Zagros) para realizar investigaciones que respalden el explicación de malware personalizado para respaldar la transferencia de archivos y la ejecución remota, mientras eluden las barreras de seguridad al afirmar ser un estudiante que trabaja en un esquema universitario final o escribe un artículo sobre ciberseguridad.
- El mal uso de Géminis por parte del actor-estado-nación iraní APT42 (además conocido como Charming Kitten y Mint Sandstorm) para crear material para campañas de phishing que a menudo implican hacerse acontecer por personas de grupos de expertos, traducir artículos y mensajes, investigar la defensa israelí y desarrollar un “agente de procesamiento de datos” que convierte solicitudes de jerigonza natural en consultas SQL para obtener información a partir de datos confidenciales.
- El mal uso de Géminis por parte del actor de amenazas norcoreano UNC1069 (además conocido como CryptoCore o MASAN): uno de los dos grupos contiguo con TraderTraitor (además conocido como PUKCHONG o UNC4899) que sucedió al ahora desaparecido APT38 (además conocido como BlueNoroff): para suscitar material señuelo para ingeniería social, desarrollar código para robar criptomonedas y elaborar instrucciones fraudulentas que se hacen acontecer por una puesta al día de software para extraer credenciales de heredero.
- El mal uso de Géminis por comerciantetraidor Desarrollar código, investigar exploits y mejorar sus herramientas.
Por otra parte, GTIG dijo que recientemente observó que UNC1069 empleaba imágenes y videos falsos que se hacían acontecer por personas en la industria de las criptomonedas en sus campañas de ingeniería social para distribuir una puerta trasera señal BIGMACHO a los sistemas de las víctimas bajo la apariencia de un kit de explicación de software (SDK) Teleobjetivo. Vale la pena señalar que algunos aspectos de la actividad comparten similitudes con la campaña GhostCall revelada recientemente por Kaspersky.
El explicación se produce cuando Google dijo que prórroga que los actores de amenazas “pasen decisivamente de usar la IA como una excepción a usarla como la norma” para aumentar la velocidad, el talento y la efectividad de sus operaciones, permitiéndoles así costar ataques a escalera.
“La creciente accesibilidad de potentes modelos de IA y el creciente número de empresas que los integran en las operaciones diarias crean las condiciones perfectas para ataques de inyección rápidos”, afirmó. “Los actores de amenazas están refinando rápidamente sus técnicas, y la naturaleza de bajo costo y entrada galardón de estos ataques los convierte en una opción atractiva”.
