Команда Google Threat Intelligence Group (GTIG) виявила новий вид шкідливого програмного забезпечення на базі штучного інтелекту, яке використовує великі мовні моделі для динамічного генерування шкідливих скриптів та уникнення виявлення.
Команда Google Threat Intelligence Group (GTIG) виявила новий вид шкідливого програмного забезпечення на базі штучного інтелекту, яке використовує великі мовні моделі для динамічного генерування шкідливих скриптів та уникнення виявлення.
Про це йдеться у звіті GTIG, в якому виділяють дві групи, що використовують так званий «just-in-time AI» — PromptFlux та PromptSteal.
«Ці інструменти динамічно генерують шкідливі скрипти, заплутують власний код, щоб уникнути виявлення, і використовують моделі штучного інтелекту для створення шкідливих функцій на вимогу, а не жорстко програмують їх у шкідливому програмному забезпеченні», — пояснюють у дослідники.
За їхніми словами, це суттєве просування в бік «автономного й адаптивного» шкідливого софту.
PromptFlux — це дропер, написаний на VBScript, який «регенерується» за допомогою API Google Gemini. Він спонукає LLM переписати власний вихідний код «на льоту», а потім зберегти модифіковану версію в папці «Автозавантаження» для збереження. Шкідливе програмне забезпечення також намагається поширюватися, копіюючи себе на знімні диски та підключені мережеві ресурси, зазначають в GTIG.
PromptSteal — це програма на Python для викрадення даних, яка використовує LLM Qwen2.5-Coder-32B-Instruct для генерації однорядкових команд Windows. Це дозволяє їй отримувати інформацію та документи у певних теках і надсилання даних на сервер управління та контролю (C2).
GTIG повідомила, що спостерігала використання PromptSteal російськими хакерами FROZENLAKE (має позначення APT28) в Україні, а PromptFlux все ще перебуває на стадії розробки.
Раніше українська команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA повідомляла, що хакерське угруповування UAC-0001 (APT28) контролюється російськими спецслужбами. Улітку 2025 року на його рахунку було 110 зафіксованих кібератак на державні органи.
У CERT-UA відзначали, що ці російські хакери стояли за розповсюдженням серед українських чиновників електронних листів із вкладенням у вигляді файлу «Додаток.pdf.zip». В ньому містився шкідливий софт LAMEHUG, який використовував LLM Qwen 2.5-Coder-32B-Instruct для викрадення даних.
