חדש: זן נוזקות מבוססות AI, שמשתמשות במודלי שפה

חוקרי גוגל גילו באחרונה זן חדש של נוזקות, שמופעלות על ידי בינה מלאכותית. הנוזקות הללו משתמשות במודלי שפה גדולים (LLMs) כדי ליצור באופן דינמי סקריפטים זדוניים ולהתחמק מזיהוי.

חוקרים בקבוצת מודיעין האיומים של גוגל, GTIG, מצאו שתי משפחות של נוזקות: PromptFlux ו-PromptSteal. "כלים אלה מייצרים באופן דינמי סקריפטים זדוניים, מטשטשים את הקוד שלהם כדי להתחמק מזיהוי ומשתמשים במודלים של AI כדי ליצור פונקציות זדוניות לפי דרישה, במקום לקודד אותן לנוזקה", כתבו החוקרים בדו"ח.

"אף על פי שמדובר במגמה שעדיין נמצאת בחיתוליה, היא משקפת צעד משמעותי, בדרך לעולם שבו יש נוזקות זדוניות, אוטונומיות וקלות יותר לאימוץ ולפריסה", ציינו.

"PromptFlux", הסבירו חוקרי גוגל, "היא מעין 'טפטפת' שנכתבה ב-VBScript, והיא 'מתחדשת' באמצעות ה-API של ג'מיני. הנוזקה מבקשת מה-LLM לשכתב את קוד המקור שלה תוך כדי תנועה, ולאחר מכן לשמור את הגרסה המעורפלת בתיקיית ההפעלה, לצורך המשכיות. הנוזקה מנסה גם להתפשט על ידי העתקת עצמה לכוננים נשלפים ולמערכות שיתוף ברשת".

"PromptSteal", הוסיפו, "היא כורה נתונים שנכתב בפיית'ון, שמבצע שאילתות על ה-LLM, כדי ליצור פקודות Windows בשורה אחת, לטובת איסוף מידע ומסמכים, גניבתם מתיקיות ספציפיות ואז שליחת הנתונים שנקצרו לשרת פקודה ובקרה (C2)".

ההאקרים שלו כבר משתמשים בנוזקה שהתגלתה. נשיא רוסיה, ולדימיר פוטין. צילום: ShutterStock

החוקרים כבר הבחינו כי קבוצת APT28 הרוסית השתמשה ב-PromptSteal למתקפה באוקראינה. הקבוצה, שפועלת בחסות הקרמלין, פעילה כבר שני עשורים, וידועה גם בשמות דוב מהודר (Fancy Bear) וסטרונטיום. הם ציינו כי PromptFlux עדיין נמצאת בשלב הפיתוח.

עוד קבוצות של נוזקות שתומכות ב-AI

החוקרים ציינו גם משפחות אחרות של נוזקות, שאף הן תומכות בבינה מלאכותית. האחת היא FruitShell – מעטפת שמקימה חיבורי שליטה ובקרה מרחוק, ומאפשרת ביצוע פקודות על מערכת הקורבן, תוך התחמקות מזיהוי. נוזקה נוספת שהם זיהו היא PromptLock – כופרה שנכתבה ב-Go, שמשתמשת ב-LLM כדי ליצור באופן דינמי סקריפטים זדוניים של Lua, לטובת הצפנת נתונים וחילוצם. הנוזקה השלישית היא QuietVault, שגונבת אישורי ג'אווה סקריפט שמשתמשים בכלי AI CLI שמותקנים במערכות הקורבן, כדי לקצור מידע סודי.

"שוק הנוזקות של הבינה המלאכותית גדל", הזהירו חוקרי קבוצת מודיעין האיומים של גוגל. "עולם פשעי הסייבר לכלי ה-AI מתפתח בקצב מהיר. יש היצע רב של כלים רב תכליתיים, שנועדו לתמוך בפישינג, פיתוח נוזקות ומחקר פגיעויות – וזה עלול להפוך את פשעי הסייבר ל-'דמוקרטיים' ונפוצים עוד יותר. ההאקרים עושים מאמצים מתמשכים לעקוף את כלי האבטחה ומשתמשים ב-'תירוצים דמויי הנדסה חברתית'. שחקנים של מדינות לאום משתמשים לרעה בצ'טבוטים כדי לסייע בכל שלבי המתקפות שלהם – החל מסיור ויצירת פתיונות פישינג ועד לפיתוח כלי השתלטות ובקרה מרחוק – לטובת חילוץ וקצירת נתונים".