Hacker der Russischen Föderation greifen die Ukraine mit Schadsoftware mithilfe von KI an: So funktioniert es

Teilen: Cybersicherheitsexperten haben herausgefunden, dass die russische Hackergruppe APT28 eine neue Malware mit dem Codenamen PromptSteal gegen die Ukraine einsetzt. Der Einsatz von PromptSteal durch APT28 war der erste dokumentierte Fall von Malware, die Large Language Models (LLM) im realen Betrieb ausnutzte. Dies geht aus einem neuen Bericht der Google Threat Intelligence Group (GTIG) hervor.

Wie Experten erklären, verwendet PromptSteal LLM, um Befehle für die Ausführung durch die Malware zu generieren, anstatt die Befehle direkt in die Software selbst fest zu codieren. PromptSteal tarnt sich als „Bildgenerierungsprogramm“, das den Benutzer durch eine Reihe von Eingabeaufforderungen zum Generieren von Bildern führt und gleichzeitig die Hugging Face-API abfragt, um Befehle zu generieren, die im Hintergrund ausgeführt werden.

Forscher vermuten, dass PromptSteal gestohlene API-Token verwendet, um Anfragen an die Hugging Face API zu stellen. Das Programm fordert LLM gezielt auf, Befehle zur Generierung von Systeminformationen zu erteilen und Dokumente in das angegebene Verzeichnis zu kopieren. Die Ausgabe dieser Befehle wird dann blind lokal von PromptSteal ausgeführt, bevor die Ausgabe preisgegeben wird.

„Während sich PromptSteal wahrscheinlich noch im Forschungs- und Entwicklungsstadium befindet, ist diese Art der Verschleierungsmethode ein früher und wichtiger Indikator dafür, wie Angreifer ihre Kampagnen in Zukunft wahrscheinlich mit künstlicher Intelligenz ergänzen werden“, betonte GTIG. Zur Erinnerung: Die neue Malware-Familie EvilAI kombiniert KI-generierten Code mit traditionellen Trojaner-Angriffsmethoden und behält dabei ein beispielloses Maß an Tarnung bei.