Фахівці з кібербезпеки виявили, що група російських хакерів APT28 використовує нове шкідливе програмне забезпечення, яке отримало назву PromptSteal. Використання PromptSteal групою APT28 стало першим зафіксованим випадком застосування шкідливого програмного забезпечення, яке експлуатує великі мовні моделі (LLM), в реальних операціях. Про це йдеться у новому звіті Google Threat Intelligence Group (GTIG).
Як працює PromptSteal?
Експерти пояснюють, що PromptSteal застосовує LLM для генерації команд для виконання шкідливим програмним забезпеченням, а не жорстко кодує команди безпосередньо в самому програмному забезпеченні. PromptSteal маскується під програму “генерації зображень”, яка веде користувача через серію підказок для генерації зображень, одночасно запитуючи API Hugging Face для генерації команд для виконання у фоновому режимі.
Які ризики пов’язані з PromptSteal?
Дослідники припускають, що PromptSteal використовує викрадені токени API для запитів до Hugging Face API. Програма конкретно запитує LLM про виведення команд для генерації системної інформації, а також для копіювання документів до вказаного каталогу. Вихідні дані цих команд потім сліпо виконуються локально PromptSteal перед витоком вихідних даних.
“Хоча PromptSteal, ймовірно, все ще перебуває на стадії досліджень та розробок, цей тип методу обфускації є раннім та значним показником того, як зловмисники, ймовірно, доповнять свої кампанії за допомогою штучного інтелекту в майбутньому”, — наголосили в GTIG.
Нагадаємо, нове сімейство шкідливих програм EvilAI поєднує код, згенерований ШІ, з традиційними методами троянських атак, зберігаючи при цьому безпрецедентний рівень прихованості. Хакери також використовують штучний інтелект для зламу хмарних сховищ, вдаючись до соціальної інженерії на основі діпфейків.
