Google Threat Intelligence Group (GTIG) в своем отчёте предупредила о новом виде вредоносного ПО на базе искусственного интеллекта, которое использует большие языковые модели. Особо выделены два семейства — PromptFlux и PromptSteal.
«Эти инструменты динамически генерируют вредоносные скрипты, скрывают свой код, чтобы уклониться от обнаружения, действуя по запросу, без жёсткого кодирования в софте. Хотя это пока ещё зарождающееся явление, оно представляет собой значительный шаг к созданию более автономного и адаптивного зловреда», — говорится в документе.
PromptFlux — это дроппер, написанный на VBScript, который «регенерируется» с помощью API Google Gemini. Он побуждает LLM переписывать свой исходный код «на лету», а затем сохранять обфусцированную версию в папке «Автозагрузка». PromptSteal — это майнер, написанный на Python, запрашивающий LLM Qwen2.5-Coder-32B-Instruct для генерации однострочных команд Windows для сбора информации и документов в определённых папках и отправки данных на сервер управления и контроля.
Среди других семейств, любимых злоумышленниками, названы FruitShell, PromptLock и QuietVault. Google предупредила, что рынок инструментов ИИ для киберпреступности развивается стремительными темпами. Есть множество предложений в сфере поддержки фишинга, разработки вредоносного софта и исследования уязвимостей. Также отмечены продолжающиеся попытки обойти ограничения Gemini, используя в подсказках «уловки, напоминающие социальную инженерию».
Руководитель службы безопасности AppOmni Кори Михал увидел в отчёте GTIG отражение того, что его компания наблюдает в ландшафте угроз SaaS: «Вредоносное ПО на основе ИИ видоизменяет свой код, делая традиционное обнаружение на основе сигнатур неэффективным. Системы обнаружения должны учитывать создание необычных процессов, выполнение скриптов или неожиданный исходящий трафик. Корреляция поведенческих сигналов на конечных точках, SaaS-решениях и телеметрии идентификационных данных позволит организациям выявлять злоумышленников, использующих ИИ, и пресекать их действия до того, как данные будут украдены».
Руководитель группы киберразведки в Cofense Макс Гэннон заявил, что применение нейросетей на каждом этапе информационного вторжения должно вызывать беспокойство у сетевых защитников: «Я ожидаю, что в ближайшем будущем предприимчивые злоумышленники будут продавать комплексные наборы на основе ИИ, которые генерируют все звенья цепочки атак и не требуют никаких знаний, что делает единственным препятствием для входа плату за подписку».
Усам Оздемиров
