Про це йдеться у звіті GTIG, в якому виділяють дві групи, що використовують так званий «just-in-time AI» — PromptFlux та PromptSteal.
» Ці інструменти динамічно генерують шкідливі скрипти, заплутують власний код, щоб уникнути виявлення, і використовують моделі штучного інтелекту для створення шкідливих функцій на вимогу, а не жорстко програмують їх у шкідливому програмному забезпеченні», — пояснюють у дослідники.
За їх словами, це є суттєвим просуванням у бік «автономного та адаптивного» шкідливого софту.
PromptFlux — це дропер, написаний на VBScript, який «регенерується» за допомогою API Google Gemini. Він спонукає LLM переписати власний вихідний код «на льоту», а потім зберегти модифіковану версію в папці «Автозавантаження» для збереження. Шкідливе програмне забезпечення також намагається поширюватися, копіюючи себе на знімні диски та підключені мережеві ресурси, зазначають в GTIG.
PromptSteal — це програма на Python для викрадення даних, яка використовує LLM Qwen2.5-Coder-32B-Instruct для генерації однорядкових команд Windows. Це дозволяє їй отримувати інформацію та документи у певних папках і надсилання даних на сервер управління та контролю (C2).
GTIG повідомила, що спостерігала використання PromptSteal російськими хакерами FROZENLAKE (має позначення APT28) в Україні, а PromptFlux все ще перебуває на стадії розробки.
Раніше українська команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA повідомляла, що хакерське угруповування UAC-0001 (APT28) контролюється російськими спецслужбами. Влітку 2025 року на його рахунку було 110 зафіксованих кібератак на державні органи.
В CERT-UA відзначали, що ці російські хакери стояли за розповсюдженням серед українських чиновників електронних листів із вкладенням у вигляді файлу «Додаток.pdf.zip». В ньому містився шкідливий софт LAMEHUG, який використовував LLM Qwen 2.5-Coder-32B-Instruct для викрадення даних.
Добавить комментарий