Új kártevőcsaládok: PromptFlux, FruitShell és társaik
Nem hagyható figyelmen kívül, hogy a Google által nemrég felfedezett PromptFlux egy kísérleti VBScript dropper, amely a Gemini MI-t használja, hogy folyamatosan új, elrejtett (obfuszkált) kódrészleteket generáljon. Egy startup mappához kapcsolódva próbál állandósulni a rendszerben, és képes pendrive-okon, valamint hálózati megosztásokon is terjedni. A leginnovatívabb összetevő a „Thinking Robot” modul, amely rendszeresen kér a Geminitől új kódot a vírusirtók kijátszásához. Bár jelenleg nem jelent valós fenyegetést, a Google gyorsan lekapcsolta a kártevő Gemini API-hoz való hozzáférését, és törölte a kapcsolódó eszközöket.
Ezzel szemben a FruitShell egy PowerShell-alapú visszacsatoló eszköz, amely távoli parancsokat hajt végre az áldozatok gépein. Ez már nyilvánosan elérhető, és beépített parancsai révén ki tudja játszani az LLM-alapú biztonsági ellenőrzéseket is. A QuietVault nevű kártevő kifejezetten GitHub/NPM-jelszavak ellopására specializálódott; az adatokat dinamikusan létrehozott nyilvános GitHub-tárhelyekre továbbítja, miközben a gépen futó MI CLI-eszközök segítségével próbál további titkok után kutatni. Felbukkant egy kísérleti zsarolóvírus is, amelyet Lua nyelven írtak, és amely egyszerre képes adatokat ellopni és titkosítani Windows, macOS és Linux rendszereken.
Állami hackerek és nemzetközi fenyegetések
Kormányzati támogatású hackercsoportok is egyre inkább kihasználják az MI lehetőségeit. Egyes kínai szereplők CTF-versenyzőnek álcázták magukat, hogy információkat szerezzenek a Geminitől sebezhetőségekről, és az MI-t adathalászathoz, illetve adatlopáshoz is felhasználták. Az Iránból származó MuddyCoast például „diákjelmezben” fejlesztett és hibakeresett kártevőket a Geminivel, míg az APT42 adatelemzésre, megtévesztő tartalmak létrehozására, illetve természetes nyelvű SQL-lekérdezések generálására vetette be a modellt. Ezzel szemben a kínai APT41 kódsegítséget és obfuszkációt kért a Geminitől, hogy továbbfejlessze saját vezérlőkeretrendszerét.
Az észak-koreai Masan csoport kriptolopásra, többnyelvű adathalászatra és deepfake csalásokra, míg a Pukchong kódfejlesztésre, főleg peremes (edge) eszközök és böngészők támadására használta az MI-t. A Google minden esetben gyorsan letiltotta az érintett fiókokat, és megerősítette a védelmi mechanizmusokat.
Az MI-alapú kiberfegyverek piaca felpörög
Összességében elmondható, hogy a földalatti fórumokon és a feketepiacon egyre nagyobb az érdeklődés az MI-alapú támadóeszközök iránt, mivel ezek olcsóbbá és egyszerűbbé teszik a kifinomult támadások kivitelezését. Az ajánlatok között szerepelnek deepfake- és képgenerátorok, kártevőfejlesztő szoftverek, adathalászatot segítő eszközök, illetve sérülékenységeket kiaknázó megoldások.
A támadási lánc minden pontjára kínálnak multifunkciós MI-eszközöket. Új funkcióikat gyakran ingyenes verzióban hirdetik, míg a fejlettebb API- és Discord-hozzáférés már drágább csomagban érhető el. A fejlesztőknek egyszerre kellene vakmerőnek és felelősségteljesnek lenniük, hogy az MI-t ne lehessen könnyen visszaélésre fordítani – ezt hangsúlyozza a Google, amely aktívan fellép minden illegális, állami vagy magán hackertámadással szemben, és közben saját MI-modelljeit is folyamatosan biztonságosabbá teszi.
