Google dijo el miércoles que descubrió un actor de amenazas desconocido que utilizaba un malware positivo Visual Basic Script (VB Script) denominado PROMPTFLUX que interactúa con su API maniquí de inteligencia fabricado (IA) Gemini para escribir su propio código fuente para mejorar la ofuscación y la despreocupación.
«PROMPTFLUX está escrito en VBScript e interactúa con la API de Gemini para solicitar técnicas específicas de ofuscación y despreocupación de VBScript para favorecer la automodificación ‘acordado a tiempo’, probablemente para esquivar la detección estática basada en firmas», dijo Google Threat Intelligence Group (GTIG) en un noticia compartido con The Hacker News.
La novedosa característica es parte de su componente «Thinking Autómata», que consulta periódicamente el maniquí de jerga sobresaliente (LLM), Gemini 1.5 Flash o posterior en este caso, para obtener nuevo código y evitar la detección. Esto, a su vez, se logra mediante el uso de una secreto API codificada para despachar la consulta al punto final de la API de Gemini.
El mensaje enviado al maniquí es muy específico y analizable por máquina, solicita cambios en el código de VB Script para esquivar el antivirus e indica al maniquí que genere solo el código en sí.
Dejando a un flanco la capacidad de regeneración, el malware guardamano la nueva interpretación ofuscada en la carpeta de inicio de Windows para establecer persistencia e intenta propagarse copiándose en unidades extraíbles y medios compartidos de red mapeados.
«Aunque la función de automodificación (AttemptToUpdateSelf) está comentada, su presencia, combinada con el registro activo de las respuestas de la IA a ‘%TEMP%thinking_robot_log.txt’, indica claramente el objetivo del autor de crear un script metamórfico que pueda transformarse con el tiempo», añadió Google.
El gigantesco tecnológico asimismo dijo que descubrió múltiples variaciones de PROMPTFLUX que incorporan regeneración de código impulsada por LLM, y una interpretación utiliza un mensaje para reescribir todo el código fuente del malware cada hora indicando al LLM que actúe como un «ofuscador práctico de VB Script».
Se considera que PROMPTFLUX se encuentra en período de ampliación o prueba, y el malware actualmente carece de medios para comprometer la red o el dispositivo de la víctima. Actualmente no se sabe quién está detrás del malware, pero los indicios apuntan a un actor de amenazas motivado financieramente que ha prohijado un enfoque amplio, independiente de la cosmografía y la industria para atacar a una amplia variedad de usuarios.
Google asimismo señaló que los adversarios están yendo más allá de utilizar la IA para obtener simples ganancias de productividad y crear herramientas que sean capaces de ajustar su comportamiento en medio de la ejecución, sin mencionar el ampliación de herramientas diseñadas específicamente para luego venderlas en foros clandestinos para obtener ganancias financieras. Algunos de los otros casos de malware impulsado por LLM observados por la empresa son los siguientes:
- CÁSCARA DE FRUTAun shell inverso escrito en PowerShell que incluye mensajes codificados para evitar la detección o el investigación de los sistemas de seguridad basados en LLM.
- BLOQUEO INMEDIATAun ransomware multiplataforma escrito en Go que utiliza un LLM para gestar y ejecutar dinámicamente scripts Lua maliciosos en tiempo de ejecución (identificado como una prueba de concepto)
- ROBO INMEDIATA (asimismo conocido como LAMEHUG), un minero de datos utilizado por el actor patrocinado por el estado ruso APT28 en ataques dirigidos a Ucrania que consulta Qwen2.5-Coder-32B-Instruct para gestar comandos para su ejecución a través de la API para Hugging Face
- QUIETVAULTun timador de credenciales escrito en JavaScript que apunta a tokens de GitHub y NPM
Desde el punto de clarividencia de Gemini, la compañía dijo que observó a un actor de amenazas del conexión con China abusando de su útil de inteligencia fabricado para crear contenido atractivo convincente, construir infraestructura técnica y diseñar herramientas para la filtración de datos.
En al menos un caso, se dice que el actor de la amenaza reformuló sus indicaciones identificándose como participante en un deporte de captura de bandera (CTF) para sortear las barreras de seguridad y engañar al sistema de inteligencia fabricado para que devuelva información útil que puede aprovecharse para explotar un punto final comprometido.
«El actor pareció estudiar de esta interacción y utilizó el pretexto CTF para apoyar el phishing, la explotación y el ampliación de web shell», dijo Google. «El actor precedió muchas de sus indicaciones sobre la explotación de software y servicios de correo electrónico específicos con comentarios como ‘Estoy trabajando en un problema de CTF’ o ‘Actualmente estoy en un CTF y vi a determinado de otro equipo asegurar…’ Este enfoque brindó consejos sobre los próximos pasos de explotación en un ‘tablado CTF'».
A continuación se enumeran otros casos de despotismo de Gemini por parte de actores patrocinados por estados de China, Irán y Corea del Septentrión para optimizar sus operaciones, incluido el gratitud, la creación de señuelos de phishing, el ampliación de comando y control (C2) y la exfiltración de datos:
- El uso indebido de Gemini por parte de un supuesto actor del conexión con China en diversas tareas, que van desde realizar un gratitud original de objetivos de interés y técnicas de phishing hasta entregar cargas bártulos y despabilarse público sobre movimientos laterales y métodos de exfiltración de datos.
- El mal uso de Géminis por parte del actor-estado-nación iraní APT41 para obtener ayuda sobre la ofuscación de código y el ampliación de código C++ y Golang para múltiples herramientas, incluido un situación C2 llamado OSSTUN
- El mal uso de Géminis por parte del actor-estado-nación iraní FangosoAgua (asimismo conocido como Mango Sandstorm, MUDDYCOAST o TEMP.Zagros) para realizar investigaciones que respalden el ampliación de malware personalizado para respaldar la transferencia de archivos y la ejecución remota, mientras eluden las barreras de seguridad al afirmar ser un estudiante que trabaja en un esquema universitario final o escribe un artículo sobre ciberseguridad.
- El mal uso de Géminis por parte del actor-estado-nación iraní APT42 (asimismo conocido como Charming Kitten y Mint Sandstorm) para crear material para campañas de phishing que a menudo implican hacerse producirse por personas de grupos de expertos, traducir artículos y mensajes, investigar la defensa israelí y desarrollar un «agente de procesamiento de datos» que convierte solicitudes de jerga natural en consultas SQL para obtener información a partir de datos confidenciales.
- El mal uso de Géminis por parte del actor de amenazas norcoreano UNC1069 (asimismo conocido como CryptoCore o MASAN): uno de los dos grupos adjunto con TraderTraitor (asimismo conocido como PUKCHONG o UNC4899) que sucedió al ahora desaparecido APT38 (asimismo conocido como BlueNoroff): para gestar material señuelo para ingeniería social, desarrollar código para robar criptomonedas y elaborar instrucciones fraudulentas que se hacen producirse por una modernización de software para extraer credenciales de beneficiario.
- El mal uso de Géminis por comerciantetraidor Desarrollar código, investigar exploits y mejorar sus herramientas.
Encima, GTIG dijo que recientemente observó que UNC1069 empleaba imágenes y videos falsos que se hacían producirse por personas en la industria de las criptomonedas en sus campañas de ingeniería social para distribuir una puerta trasera señal BIGMACHO a los sistemas de las víctimas bajo la apariencia de un kit de ampliación de software (SDK) Teleobjetivo. Vale la pena señalar que algunos aspectos de la actividad comparten similitudes con la campaña GhostCall revelada recientemente por Kaspersky.
El ampliación se produce cuando Google dijo que retraso que los actores de amenazas «pasen decisivamente de usar la IA como una excepción a usarla como la norma» para aumentar la velocidad, el magnitud y la efectividad de sus operaciones, permitiéndoles así valer ataques a escalera.
«La creciente accesibilidad de potentes modelos de IA y el creciente número de empresas que los integran en las operaciones diarias crean las condiciones perfectas para ataques de inyección rápidos», afirmó. «Los actores de amenazas están refinando rápidamente sus técnicas, y la naturaleza de bajo costo y incorporación remuneración de estos ataques los convierte en una opción atractiva».
