גוגל חושפת: תוכנות זדוניות מבוססות AI משמשות גנבות קריפטו מצפון קוריאה
גוגל חשפה 5 משפחות תוכנות זדוניות המשתמשות במודלי AI (כמו Gemini ו-Qwen) ליצירת קוד זדוני דינאמי. קבוצות APT מצפון קוריאה ורוסיה מנצלות טכנולוגיה זו לגניבת קריפטו ויצירת פישינג מתוחכם. החברה חסמה חשבונות פוגעניים ושדרגה מנגנוני הגנה.
דו"ח חדש של גוגל חושף עולם תחתון דיגיטלי: קבוצות סייבר ממדינות כמו צפון קוריאה ורוסיה משלבות כיום מודלים מבוססי בינה מלאכותית (LLM) בתוכנות זדוניות מתקדמות.
מהפכת ה-JIT במרחב האיומים
לפי נתוני גוגל Threat Intelligence Group (GTIG), לפחות חמש משפחות תוכנות זדוניות חדשות נצפו משתמשות בטכניקת "Just-in-Time Code Creation":
- ייצור סקריפטים זדוניים דינאמי
- עירפול קוד בזמן ריצה (Run-time Obfuscation)
- שימוש במודלים כמו Gemini של גוגל ו-Qwen2.5-Coder דרך APIs
"התוכנות מוותרות על קוד מקובע ובוחרות לייצר פונקציונליות זדונית על פי דרישה באמצעות מודלי AI חיצוניים", נכתב בדו"ח.
משפחות בולטות במתקפה
-
PROMPTFLUX:
- מריץ תהליך "Thinking Robot" שמתקשר עם Gemini API כל שעה
- משכתב קוד VBScript אוטומטית כדי לחמוק מזיהוי
-
PROMPTSTEAL:
- מקושרת ל-APT28 הרוסית
- משתמשת במודל Qwen2.5-Coder מ-Hugging Face
- יוצרת פקודות Windows אד-הוק
צפון קוריאה במרכז העלילה
קבוצת UNC1069 (Masan) הצפון קוריאנית זוהתה כעושה שימוש לרעה ב-Gemini לקמפיינים מתוחכמים:
- שאילתות לחיפוש נתוני ארנקים קריפטוגרפיים
- פיתוח סקריפטים לפריצת אחסון מוצפן
- יצירת תוכן פישינג רב-לשוני לעובדי בורסות
לפי החוקרים, "הפעילות נועדה לבנות קוד שיגנוב נכסים דיגיטלים, עם התמקדות בשפת מחשב ותחזוקת אישורים".
הפעלת נגד
גוגל הודיעה כי:
- חסלה חשבונות הקשורים לפעילות החשודה
- שדרגה סינונים למניעת ניצול דוגמניות שפה
- הפעילה ניטור API מחמיר לזיהוי שימושים חריגים
"ממצאים אלה מצביעים על שדה התקפה חדש שבו תוכנות זדוניות משתמשות ב-LLM בזמן ריצה כדי לאתר נתונים רגישים וליצור פיתויים מתוחכמים" - צוות GTIG