Il malware ora usa l'IA per riscrivere sé stesso e sfuggire al rilevamento
Ricercatori del Google Threat Intelligence Group (GTIG) hanno scoperto che gli hacker stanno creando malware in grado di sfruttare la potenza dei modelli di linguaggio di grandi dimensioni (LLMs) per riscriversi al volo. Una famiglia di malware sperimentale identificata dal GTIG in un recente post sul blog, denominata PROMPTFLUX, può riscrivere il proprio codice per evitare il rilevamento. È un escalation che potrebbe rendere il malware futuro molto più difficile da rilevare, evidenziando le crescenti preoccupazioni di cybersicurezza legate all'avvento e all'adozione diffusa dell'IA generativa. Strumenti come PROMPTFLUX «dynamically generate malicious scripts, obfuscate their own code to evade detection, and leverage AI models to create malicious functions on demand, rather than hard-coding them into the malware», GTIG ha scritto. Secondo il gigante tecnologico, questo nuovo “just-in-time” approccio «rappresenta un passo significativo verso malware più autonomo e adattivo». PROMPTFLUX è un malware Trojan che interagisce con l'API del modello Gemini di Google per imparare come modificarsi al volo per evitare rilevamenti. «Ulteriore esame dei campioni PROMPTFLUX suggerisce che questa famiglia di codice è attualmente in una fase di sviluppo o di testing, poiché alcune funzionalità incomplete sono commentate e esiste un meccanismo per limitare le chiamate API Gemini del malware», ha scritto il gruppo. Fortunatamente, l'exploit non è stato osservato finora in ambienti reali, poiché «lo stato attuale di questo malware non dimostra la capacità di compromettere una rete o un dispositivo della vittima», Google ha osservato. «Abbiamo intrapreso azioni per disabilitare le risorse associate a questa attività.» Nonostante ciò, GTIG ha osservato che malware come PROMPTFLUX sembra «associato ad attori motivati finanziariamente». Il team ha avvertito di un mercato sotterraneo per strumenti IA illeciti, in maturazione, che potrebbe abbassare la «barriera all'ingresso per attori meno sofisticati». La minaccia che gli avversari sfruttino strumenti IA è molto reale. Secondo Google, «attori sponsorizzati dallo Stato provenienti da Corea del Nord, Iran e Repubblica Popolare Cinese» stanno già sperimentando con l'IA per potenziare le loro operazioni. In risposta alla minaccia, GTIG ha introdotto un nuovo quadro concettuale volto a mettere in sicurezza i sistemi IA. Se da una parte l'IA generativa può essere usata per creare malware quasi impossibili da rilevare, dall'altra può essere usata anche per il bene. Ad esempio, Google ha recentemente introdotto un agente IA, chiamato Big Sleep, progettato per utilizzare l'IA per identificare vulnerabilità di sicurezza nel software. In altre parole, è l'IA contro l'IA in una guerra informatica che si evolve rapidamente. Approfondimenti su IA e cybersicurezza: serio nuovo hacking scoperto contro il nuovo browser IA di OpenAI.
In This Article:
PROMPTFLUX una nuova famiglia di malware che si riscrive da sé
PROMPTFLUX è una famiglia di malware Trojan che interagisce con l'API Gemini di Google per imparare come modificarsi al volo al fine di evitare il rilevamento. «Ulteriori esami dei campioni PROMPTFLUX suggeriscono che questa famiglia di codice è attualmente in fase di sviluppo o di testing, poiché alcune funzionalità incomplete sono commentate e esiste un meccanismo per limitare le chiamate API Gemini del malware»
Stato attuale e contromisure
Fortunatamente, l'exploit non è stato osservato infettare macchine nel mondo reale, poiché «lo stato attuale di questo malware non dimostra la capacità di compromettere una rete o un dispositivo della vittima», Google ha osservato. «Abbiamo intrapreso azioni per disabilitare le risorse associate a questa attività.» Nonostante ciò, GTIG ha osservato che malware come PROMPTFLUX sembra «associato ad attori motivati finanziariamente». Il team ha avvertito di un mercato sotterraneo per strumenti IA illeciti, in maturazione, che potrebbe abbassare la «barriera all'ingresso per attori meno sofisticati». Secondo Google, «attori sponsorizzati dallo Stato provenienti da Corea del Nord, Iran e Repubblica Popolare Cinese» stanno già sperimentando con l'IA per potenziare le loro operazioni. GTIG ha avviato un nuovo quadro concettuale volto a mettere in sicurezza i sistemi IA.
Attori e mercato dietro PROMPTFLUX
PROMPTFLUX sembra essere associato ad attori motivati finanziariamente. GTIG ha avvertito di un mercato sotterraneo per strumenti IA illeciti, che potrebbe abbassare la barriera all'ingresso per attori meno sofisticati. La minaccia di avversari che sfruttano strumenti IA è molto reale. Attori sponsorizzati dallo Stato provenienti da Corea del Nord, Iran e Cina stanno già sperimentando con l'IA per potenziare le loro operazioni.
AI contro AI e la cybersicurezza in evoluzione
In risposta alla minaccia, GTIG ha introdotto un nuovo quadro concettuale volto a mettere in sicurezza i sistemi IA. Se da una parte la generative AI può essere usata per creare malware quasi impossibili da rilevare, dall'altra può essere usata anche per fini buoni. Google ha recentemente introdotto un agente IA, chiamato Big Sleep, progettato per utilizzare l'IA per identificare vulnerabilità di sicurezza nel software. In altre parole, è l'IA contro l'IA in una guerra informatica che si evolve rapidamente.
Approfondimenti e un punto di vista umano
More on AI e cybersecurity: Serio nuovo hack scoperto contro il nuovo browser IA di OpenAI. Sono un senior editor a Futurism, dove scrivo su NASA e sul settore spaziale privato, nonché su temi che vanno dal SETI all'intelligenza artificiale a policy tecnologiche e sanitarie.
