Google предупреждает: ИИ-вредоносы обходят антивирусы, создают дипфейки и автоматизируют фишинговые атаки

Группа анализа угроз Google (GTIG) зафиксировала в этом году значительный сдвиг — злоумышленники начали использовать ИИ для развертывания новых семейств вредоносных программ, которые интегрируют большие языковые модели (LLM) во время выполнения.

Такой подход позволяет динамически изменять поведение программы в процессе выполнения, обеспечивая уровень гибкости и адаптивности, недостижимый для традиционных угроз.

Google называет эту технику «самомодификацией по запросу» (just-in-time self-modification) и приводит в пример экспериментальные образцы — дроппер PromptFlux и майнер данных PromptSteal (также известный как LameHug). Они используют генерацию динамических скриптов, обфускацию кода и создание функций по требованию.

PromptFlux — это экспериментальный VBScript-дроппер, который в последней версии применяет LLM Gemini от Google для генерации обфусцированных вариантов VBScript.

Он добивается постоянства через добавление в автозагрузку и распространяется по съемным носителям и сетевым общим папкам.

Google поясняет:

Наиболее инновационный компонент PROMPTFLUX — модуль Thinking Robot, предназначенный для периодического обращения к Gemini с целью получения нового кода для обхода антивирусных решений.

По словам исследователей, подсказка (prompt) очень конкретна и машинно-читаема. Это указывает на то, что создатели вредоноса стремятся создать постоянно эволюционирующий «метаморфный скрипт».

Google не смогла отнести PromptFlux к конкретной группировке, однако отметила, что применяемые тактики, техники и процедуры указывают на финансово мотивированную группу.

Хотя PromptFlux находился на ранней стадии разработки и не представлял серьезной угрозы, Google предприняла действия по блокировке его доступа к API Gemini и удалению всех связанных активов.

Другая вредоносная программа с поддержкой ИИ, обнаруженная Google в этом году и уже применяемый в атаках, — это FruitShell, PowerShell-оболочка с обратным подключением (reverse shell), обеспечивающая удаленный доступ к управлению (C2) и выполнение произвольных команд на зараженных устройствах.

Эта программа находится в открытом доступе. Исследователи отмечают, что в ней встроены подсказки, предназначенные для обхода анализаторов, использующих LLM.

Google также выделяет QuietVault — JavaScript-вредонос для кражи учетных данных, нацеленный на токены GitHub и NPM. Он выгружает похищенные данные в создаваемые на лету публичные репозитории GitHub.

QuietVault использует локальные ИИ-инструменты командной строки и подсказки для поиска дополнительных секретов и их дальнейшей утечки.

В список ИИ-вредоносов также входит PromptLock — экспериментальная программа-вымогатель, использующая скрипты Lua для кражи и шифрования данных на устройствах под управлением Windows, macOS и Linux.

Случаи злоупотребления Gemini

Помимо вредоносных программ, использующих ИИ, в отчете Google также описаны многочисленные случаи злоупотребления моделью Gemini на всех этапах атаки.

Злоумышленник, связанный с Китаем, выдавал себя за участника соревнования по кибербезопасности (CTF), чтобы обойти фильтры безопасности Gemini и получить сведения об уязвимостях, используя модель для поиска эксплойтов, создания фишинговых приманок и инструментов утечки данных.

Иранская группа MuddyCoast (UNC3313) притворялась студентом, чтобы использовать Gemini для разработки и отладки вредоносов, случайно раскрывая при этом домены и ключи C2.

Другая иранская группа, APT42, применяла Gemini для фишинга и анализа данных, создавая фишинговые письма, переводя тексты и разрабатывая «агент обработки данных» (Data Processing Agent), который преобразовывал естественный язык в SQL-запросы для извлечения персональных данных.

Китайская APT41 использовала Gemini как помощника при написании кода, улучшая свою инфраструктуру OSSTUN C2 и применяя библиотеки обфускации для повышения сложности вредоносов.

Северокорейская группа Masan (UNC1069) применяла Gemini для кражи криптовалюты, многоязычного фишинга и создания дипфейков, а группа Pukchong (UNC4899) использовала модель для разработки кода, нацеленного на граничные устройства и браузеры.

Во всех выявленных случаях Google заблокировала соответствующие аккаунты и усилила защиту моделей, чтобы усложнить их обход и повторное злоупотребление.

Инструменты с поддержкой ИИ на подпольных форумах

Исследователи Google обнаружили, что на подпольных рынках, как англоязычных, так и русскоязычных, растет интерес к вредоносным инструментам и сервисам на основе ИИ, поскольку они снижают технический порог для запуска сложных атак.

В отчете Google сообщается:

Многие объявления на подпольных форумах по стилю напоминали маркетинг легальных ИИ-моделей, подчеркивая повышение эффективности работы и снижение усилий, при этом предлагая потенциальным клиентам инструкции по использованию.

Предложения варьируются от утилит для генерации дипфейков и изображений до инструментов для разработки вредоносов, фишинга, разведки и эксплуатации уязвимостей.

По мере того как рынок ИИ-инструментов для киберпреступности становится более зрелым, тенденция указывает на замену традиционных средств, применяемых в атаках.

GTIG выявила множество акторов, рекламирующих многофункциональные инструменты, охватывающие все стадии кибератаки.

Переход к сервисам на базе ИИ выглядит стремительным: многие разработчики продвигают новые возможности даже в бесплатных версиях своих решений, предлагая доступ к API и Discord за дополнительную плату.

Google подчеркивает, что подход к ИИ со стороны любого разработчика должен быть одновременно «смелым и ответственным», а ИИ-системы следует проектировать с «надежными механизмами безопасности», чтобы предотвратить злоупотребления и противодействовать враждебным операциям.

Компания заявила, что расследует все признаки злоупотребления своими сервисами и продуктами, включая деятельность, связанную с правительственными структурами. Помимо сотрудничества с правоохранительными органами, Google использует полученный опыт борьбы с угрозами для повышения безопасности своих ИИ-моделей.