Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Google: atacatorii folosesc AI pentru a crea exploituri zero-day și malware autonom

Pentru prima dată, analiștii de securitate au identificat un exploit zero-day care din evaluările lor pare a fi fost creat cu ajutorul inteligenței artificiale de către un grup de criminalitate cibernetică.

Aceleași modele de limbaj (LLM) care alimentează asistenții digitali din întreaga lume sunt acum exploatate de actori statali și infractori cibernetici pentru a automatiza recunoașterea în rețea, a genera malware polimorf și a produce deepfake-uri la scară industrială, potrivit unui raport publicat luni de Google Threat Intelligence Group (GTIG).

Raportul, bazat pe datele din angajamentele de răspuns la incidente Mandiant, pe telemetria Gemini și pe cercetările proactive ale GTIG, descrie o tranziție matură de la operațiunile AI incipiente la aplicarea la scară industrială a modelelor generative în fluxurile de lucru adversariale.

Zero-day generat cu AI

Într-un caz notabil, GTIG a observat actori proeminenți de criminalitate cibernetică care planificau o operațiune de exploatare în masă a unei vulnerabilități într-un instrument popular de administrare web open-source.

Analiza exploitului a dus la identificarea unei vulnerabilitate zero-day implementată într-un script Python ce permite ocolirea autentificării în doi pași. GTIG a lucrat cu furnizorul afectat pentru divulgarea responsabilă a vulnerabilității și perturbarea activității amenințării.

Deși cercetătorii nu consideră că a fost folosit Gemini, pe baza structurii și conținutului exploitului, aceștia au un grad ridicat de încredere că actorul a recurs probabil la un model AI pentru a sprijini descoperirea și instrumentalizarea vulnerabilității.

Scriptul conține un număr mare de docstring-uri educaționale – inclusiv un scor CVSS halucinat – și folosește un format Python structurat „ca la carte”, caracteristic datelor de training ale modelelor de limbaj.

Actori statali și cercetarea AI a vulnerabilităților

GTIG a remarcat un interes deosebit din partea mai multor grupuri de activitate asociate cu Republica Populară Chineză și cu Republica Populară Democrată Coreeană. Acești actori au utilizat abordări sofisticate pentru descoperirea și exploatarea vulnerabilităților augmentate de AI, începând cu tentative de jailbreaking bazate pe personaje și integrarea unor seturi de date de securitate specializate pentru a-și augmenta fluxurile de lucru.

De asemenea, s-a observat că APT45 trimite mii de prompturi repetitive care analizează recursiv diferite CVE-uri și validează exploit-uri demonstrative (proof-of-concept – PoC), rezultând un arsenal mai robust de capabilități de exploatare care ar fi imposibil de gestionat fără asistența AI.

Malware autonom: PROMPTSPY

Un exemplu principal al evoluției spre orchestrarea autonomă a atacurilor este PROMPTSPY, un backdoor pentru Android care conține un modul de agent autonom denumit „GeminiAutomationAgent”.

Modulul trimite o serializare a ierarhiei interfeței de utilizator vizibile a dispozitivului infectat – în format XML – către modelul gemini-2.5-flash-lite printr-o cerere HTTP POST.

Răspunsul primit este unJSON structurat care dictează tipuri specifice de acțiuni și coordonate spațiale. Malware-ul parsează răspunsul pentru a simula gesturi fizice, cum ar fi CLICK și SWIPE.

PROMPTSPY poate captura datele biometrice ale victimei pentru a reda gesturile de autentificare și pentru a recâștiga accesul la un dispozitiv compromis. Dacă victima încearcă să dezinstaleze PROMPTSPY, malware-ul folosește modulul AppProtectionDetector pentru a identifica coordonatele pe ecran ale butonului „Dezinstalare” și randează un overlay invizibil direct peste acesta, interceptând și consumând evenimentele de atingere ale victimei.

Obfuscare generată cu AI și rețele ORB

Familiile de malware CANFAIL și LONGSTREAM, legate de activitate cu conexiuni la Rusia vizând organizații ucrainene, utilizează cod generat de LLM pentru a-și camufla funcționalitatea malițioasă.

Cercetătorii de la Google subliniază că LONGSTREAM conține blocuri de cod coerente dar inactive, inclusiv 32 de instanțe ale codului care interogează starea orei de vară a sistemului, ce sunt concepute pentru a umple scriptul cu activitate care poate părea benignă.

Google a dezactivat activele asociate cu activitatea PROMPTSPY. Pe baza detectiei curente, nicio aplicație care conține PROMPTSPY nu a fost găsită pe Google Play. Utilizatorii Android sunt protejați automat împotriva versiunilor cunoscute ale acestui malware de Google Play Protect.

Compania avertizează că actorii cibernetici se folosesc de accesul la servicii AI premium la scară industrială. Aceștia folosesc modelele AI pentru a automatiza crearea de conturi noi și pentru a pune la punct infrastructura tehnică pentru atacuri

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna