Was lange befürchtet und vermutet wurde, will die Google Risk Intelligence Group (GTIG) nun im Rahmen einer aktuellen Untersuchung belegen: Cyberkriminelle nutzen KI im Rahmen ihrer Malware-Angriffskampagnen. Aber längst nicht mehr nur für Vibe-Coding-Zwecke oder zur technischen Unterstützung. Wie die Cybersecurity-Experten feststellen, binden kriminelle Hacker große Sprachmodelle (Massive Language Fashions; LLMs) inzwischen aktiv in ihre Attacken ein, um bösartige Skripte zu generieren und um Schadcode zu verschleiern – unter anderem. Eine weitere interessante Erkenntnis des Google-Experiences: KI-Modelle scheinen ebenso anfällig für Social-Engineering-Angriffe zu sein wie Menschen.

“Eine neue operative Part des KI-Missbrauchs ist angebrochen. Dabei kommen Instruments zum Einsatz, die das Verhalten des Schadcodes während der Ausführung dynamisch verändern, Aktivitäten dieser Artwork beobachten wir erst seit kurzem, erwarten aber, dass diese weiter zunehmen”, warnen die Forscher.

Die neue KI-Malware

Laut den Google-Sicherheitsexperten wird KI von Cyberkriminellen nicht nur auf neuartige Artwork und Weise, sondern auch hochgradig systematisch eingesetzt. Zum Beispiel in Type der folgenden, von der GTIG identifizierten, dynamischen neuen Malware-Varianten.

PROMPTSTEAL ist demnach die erste in freier Wildbahn beobachtete Malware, die LLMs abfragt. Sie wird dem GTIG zufolge in erster Linie von Cyberakteuren genutzt, die mit dem russischen Staatsapparat in Verbindung stehen. Um Befehle zu generieren, verwende dieser Data Miner die Hugging Face API, anstatt diese fest in die Schadsoftware zu codieren.

“Die Malware tarnt sich als Programm zur Bildgenerierung und führt die Benutzer zu diesem Zweck durch eine Reihe von Prompts, während im Hintergrund die API genutzt wird, um über das KI-Modell Qwen 2.5-Coder-32B-Instruct schadhafte Kommandos zu erstellen und auszuführen”, erklären die Bedrohungsexperten. Das Ziel der Angreifer bestehe darin, Systeminformationen und Dokumente zu sammeln – und diese an einen Server weiterzuleiten, der unter ihrer Kontrolle steht.

“Diese Methode ist zwar noch experimentell, stellt jedoch einen bedeutenden Schritt hin zu autonomer, anpassungsfähiger Schadsoftware dar”, resümieren die GTIG-Experten.

Bei PROMPTFLUX handelt es sich hingegen um einen sogenannten “Dropper”, der seine maliziöse Aktivität mit Hilfe eines Pretend-Installationsprogramms verbirgt. Diese besteht darin, die Gemini-API anzuweisen, seinen Quellcode neu zu schreiben – und neue verschleierte Versionen von diesem zu speichern, um Persistenz sicherzustellen. Diese Malware kann sich auch auf Wechseldatenträger oder zugeordnete Netzlaufwerke kopieren.

Interessanterweise ist die Schadsoftware außerdem mit einem “Considering Robotic”-Modul ausgestattet. Darüber fragt sie den Forschern zufolge regelmäßig Gemini auf neuen Code ab, um Antivirus-Software program zu umgehen. Die Google-Forscher beobachteten zudem eine weitere Variante, die über ein weiterentwickeltes Modul verfügte, das dafür sorgt, dass der gesamte Malware-Quellcode stündlich neu geschrieben wird. Auch dabei geht es darum, Signatur-basierte Erkennungsmaßnahmen auszuhebeln. “Das Ziel besteht darin, ein metamorphes Skript zu entwickeln, das sich im Laufe der Zeit eigenständig weiterentwickeln kann”, so die Experten.

Weitere neue, KI-gestützte Malware-Varianten, die die Sicherheitsexperten identifiziert haben, sind:

• FRUITSHELL, eine Reverse-Shell, die eine Distant-Verbindung zu einem Command-and-Management (C2)-Server herstellt. Den Angreifern ermöglicht das, auf kompromittierten Systemen beliebige Befehle auszuführen.
• PROMPTLOCK, eine experimentelle Ransomware, die in Go geschrieben ist und LLMs nutzt, um bösartige Skripte zu erstellen und auszuführen, Systeme auszukundschaften, Daten zu exfiltrieren sowie zu verschlüsseln.
• QUIETVAULT, eine Malware, die darauf ausgelegt ist, GitHub- und npm-Token zu stehlen.

Social Engineering für LLMs

Um die Sicherheitsvorkehrungen von LLMs zu umgehen, gehen Cyberkriminelle laut dem GTIG zudem dazu über, ihre KI-Prompts mit Social-Engineering-Taktiken anzureichern. So berichten die Forscher, dass sich Kriminelle gegenüber Gemini unter anderem als Safety-Researcher ausgeben, um dem Bot Informationen zu entlocken, die er eigentlich nicht preisgeben dürfte.

Die Experten des GTIG beschreiben etwa eine Interaktion, bei der ein Angreifer versuchte, Gemini zu nutzen, um Schwachstellen in einem kompromittierten System zu identifizieren. Das sei zunächst durch die Sicherheitsvorkehrungen des Modells blockiert worden. Nachdem der Hacker jedoch seinen Immediate neu formuliert und sich als Teilnehmer eines Seize-the-Flag-Wettbewerbs ausgegeben hatte, habe die Google-KI bereitwillig Tipps zu den nächsten Schritten in dem angeblichen Purple-Teaming-Szenario gegeben und dabei wertvolle Informationen für einen erfolgreichen Angriff mitgeliefert, so die Sicherheitsprofis.

Eine weitere Immediate-Taktik von Cybercrime-Akteuren besteht offenbar darin, sich als Studenten auszugeben, um unter dem Deckmantel angeblicher Forschungsarbeiten schadhafte Zwecke zu verfolgen. So beobachteten die GTIG-Forscher einen iranischen Bedrohungsakteur, der diese Taktik anwandte, um sich von Gemini dabei unterstützen zu lassen, maßgeschneiderte Schadsoftware zu erstellen – beispielsweise in Type von Internet-Shells und einem C2-Server auf Python-Foundation.

KI-Instruments für Cyberkriminelle

Die Google Risk Intelligence Group hat im Rahmen ihrer Untersuchungen auch einen Blick auf den Standing Quo des Cybercrime-Markts geworfen – und dabei festgestellt, dass illegale KI-Instruments zunehmend ausgereift sind. Im Cybercrime-Untergrund sind demnach KI-“Lösungen” besonders populär, die:

• Malware generieren, individualisieren und optimieren.
• Deepfakes ernöglichen, beispielsweise um Content material-Köder zu erstellen oder auch um Know-Your-Buyer-Anforderungen bei Finanzinstitutionen auszuhebeln.
• Phishing-Kampagnen unterstützen – etwa, indem sie diese automatisiert auf ein breiteres Zielpublikum zuschneiden.
• sich für Recherche- und Aufklärungszwecke einsetzen lassen. Das ermöglicht, schnell Daten zu sammeln und sich einen Überblick über Cybersicherheitskonzepte zu verschaffen.
• Schwachstellen ausnutzen, die sie zuvor anhand öffentlich zugänglicher Informationen über bereits bekannte Sicherheitslücken identifiziert haben.
• technischen Assist leisten und Code erstellen.

Die Preismodelle dieser Instruments ähnelten dabei zunehmend denen herkömmlicher Softwarelösungen, so die Forscher: “Viele Entwickler solcher Instruments veröffentlichen kostenlose Versionen ihrer Lösungen, die Werbung beinhalten. Parallel bieten sie Abonnement-Modelle mit fortschrittlicheren oder zusätzlichen Funktionen an – etwa Bildgenerierung, API-Zugriff oder Zugang zu einem Discord-Server”, heißt es im Report der Google-Sicherheitsprofis.  

Mit Blick auf die zu erwartenden Folgen halten die GTIG-Forscher fest: “Instruments und Providers dieser Artwork ermöglichen auch weniger versierten Cyberakteuren mit limitierten technischen Abilities und finanziellen Ressourcen, den Umfang, den Influence und die Komplexität ihrer Angriffe drastisch zu steigern. Auch weil diese Instruments immer zugänglicher werden, ist damit zu rechnen, dass Bedrohungsakteure künftig immer häufiger auf künstliche Intelligenz zurückgreifen werden.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Publication liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.