谷歌的威胁情报组(GTIG)发现网络犯罪战术发生了重大变化。几种新识别的恶意软件家族现在在攻击期间使用大型语言模型(LLMs)来生成或伪装恶意代码。这标志着“活”恶意软件的崛起 —— 软件能够实时重写自己,逃避检测,并精准瞄准数字资产。
根据GTIG的报告,至少发现了五种不同的AI驱动的恶意软件变种,它们使用外部模型如Gemini和Qwen2.5-Coder按需创建新功能。攻击者现在将关键功能外包给人工智能,而不是直接在代码中嵌入恶意逻辑,从而赋予他们前所未有的灵活性和适应性。
人工智能如何改变恶意软件
这种新方法允许恶意软件:
🔹 不断重写自己的代码以规避杀毒系统
🔹 在执行过程中动态生成新的攻击脚本
过去,恶意逻辑是硬编码到二进制文件中的。现在,恶意软件的行为实时演变——瞬间适应以绕过防御措施和安全过滤器。
攻击示例及参与团体
谷歌的报告突出了两个主要家族:PROMPTFLUX 和 PROMPTSTEAL。前者每小时联系 Gemini API 重写其 VBScript 并保持不可检测。后者与俄罗斯组织 APT28 相关,使用 Qwen 模型生成 Windows 命令和提取脚本。
GTIG 还识别了朝鲜组织 UNC1069(Masan),该组织据称滥用 Gemini 以针对加密货币交易所。该组织的提示要求模型生成多语言钓鱼消息和访问加密钱包的脚本——这是高度自动化、AI 辅助攻击的迹象。
网络犯罪的新阶段
根据谷歌的说法,恶意软件正进入一个新阶段,在这个阶段人工智能可以:
🔹 在感染的系统上定位加密钱包并创建脚本以窃取它们
🔹 生成有说服力的、本地化的钓鱼电子邮件,针对特定受害者
攻击者不再需要大型开发团队——一个精心设计的提示就足以让 AI 模型在几秒钟内生成有效的利用代码或钓鱼内容。
谷歌的对策
谷歌已停用与这些活动相关的账户,加强了 API 监控,并实施了新的提示过滤器以防止恶意代码生成。然而,专家警告说,这只是长期斗争的开始,因为攻击者很快就可能托管自己的 AI 模型或修改提示策略以避免检测。
对加密行业的影响
谷歌的研究发现,人工智能已成为一把双刃剑——既是防御工具也是进攻工具。LLMs 与恶意软件的融合标志着网络犯罪的新篇章,AI 可以更快地生成攻击、隐藏痕迹并窃取加密资产。
公司和个人投资者应加强钱包安全,监控应用行为以识别异常,并培训员工识别 AI 生成的钓鱼攻击尝试,这些攻击变得越来越真实。
#AI , #CyberSecurity , #Google , #CryptoSecurity , #CryptoNews
保持领先一步——关注我们的个人资料,随时了解加密货币世界中的一切重要信息!
注意:
,,本文所提供的信息和观点仅供教育目的,不应在任何情况下被视为投资建议。这些页面的内容不应被视为财务、投资或任何其他形式的建议。我们警告说,投资加密货币可能会有风险,并可能导致财务损失。