Malware сега користи вештачка интелигенција за време на извршување — Google предупредува

Google објави извештај кој го опишува новиот начин на кој злонамерниот софтвер користи вештачка интелигенција за да се адаптира и да избегнува детекција.

Групата за разузнавање на закани на Google (GTIG) забележала неколку нови и интересни начини на кои malware-от го искористува истражувањето и развојот со помош на вештачка интелигенција, надминувајќи ја само употребата за зголемување на продуктивноста.

Веќе некое време сајбер-криминалците и актерите поддржани од држави ја користат AI за развој и подобрување на malware, планирање напади и креирање социјално-инженерски примамки.

Индустријата за сајбер-безбедност исто така набљудува и демонстрира потенцијал за malware да користи AI додека се извршува.

На пример, PromptLock ransomware, кој пред неколку месеци доби внимание поради користењето AI за генерирање скрипти „во лет“ и извршување различни дејства на компромитирани системи, е експериментален proof‑of‑concept развиен од истражувачи.

Сепак, истражувачите на Google наишле и на други примероци на malware кои ја користат AI за време на нападот. Додека некои од нив биле опишани како „експериментални закани“, како PromptLock, други биле користени во дивина (in the wild).

Друг експериментален AI‑поддржан malware што го видел Google е PromptFlux — dropper кој може да се „регенерира“ сам, пренапишувајќи го својот код и зачувувајќи ја новата верзија во папката Startup за перзистентност.

„PromptFlux е напишан во VBScript и комуницира со Gemini API за да бара специфични техники за обфускација и евазија на VBScript, со цел да овозможи ‘just‑in‑time’ само‑модификација, веројатно за да се избегне статичката детекција базирана на signatures,“ објаснија истражувачите од GTIG.

Еден од примероците видени во дивина е FruitShell — реверз-шел напишан во PowerShell што овозможува извршување на произволни команди на компромитирани системи. Овој malware содржи вградените (hardcoded) AI‑промптови дизајнирани да ја заобиколат детекцијата и анализата од AI‑поддржани безбедносни решенија. Друга фамилија која GTIG ја истакнува е PromptSteal, Python‑базиран data miner што го користи Hugging Face API за да прашува Qwen2.5‑Coder‑32B‑Instruct LLM за да генерира едноставни Windows‑команди за собирање системски податоци и документи од одредени папки.

Последниот пример што Google го истакнува е QuietVault, крадец на креденцијали развиен во JavaScript, дизајниран за собирање NPM и GitHub токени. Овој malware користи AI‑промпт и AI CLI алатки инсталирани на компромитираниот хост за да пребара други тајни на системот.

„Иако сè уште е во рана фаза, ова претставува значаен чекор кон поавтономен и поадаптивен malware,“ велат истражувачите на GTIG, додавајќи подоцна: „Токму сега почнуваме да ја гледаме ваквата активност, но очекуваме дека ќе се зголеми во иднина.“

Извештајот на Google исто така опишува други аспекти поврзани со употребата на AI од страна на актери на закана. Технолошкиот гигант забележал како актерите користат промптови кои можат да се опишат како „социјално‑инженерски“ за да ги заобиколат AI гардрејловите.

Компанијата исто така предупредува дека подземниот пазар за AI‑алатки созрева. Нивните истражувачи забележале мултифункционални алатки дизајнирани за развој на malware, фишинг и истражување на ранливости.

„Додека противниците сигурно се обидуваат да користат мейнстрим AI платформи, гардрејловите ги натераа многу да се обратат кон модели достапни во криминалното подземје,“ објасни Били Леонард, технички лидер во Google Threat Intelligence Group. „Тие алатки се неограничени и можат да понудат значајна предност за помалку напредните. Има неколку од нив достапни сега, и очекуваме дека ќе го намалат прагот за влез за многу криминалци.“

Дополнително, актери поврзани со држави (China, Iran и North Korea) продолжиле да ја користат Google‑овата Gemini за подобрување на разузнавање, ексфилтрација на податоци, системи за команда и контрола и други компоненти во нивните операции.

Извори:

• SecurityWeek – „Malware Now Uses AI During Execution to Mutate and Collect Data, Google Warns“ SecurityWeek