Tayler Derden | shutterstock.com

Was lange befürchtet und vermutet wurde, will die Google Threat Intelligence Group (GTIG) nun im Rahmen einer aktuellen Untersuchung belegen: Cyberkriminelle nutzen KI im Rahmen ihrer Malware-Angriffskampagnen. Aber längst nicht mehr nur für Vibe-Coding-Zwecke oder zur technischen Unterstützung. Wie die Cybersecurity-Experten feststellen, binden kriminelle Hacker große Sprachmodelle (Large Language Models; LLMs) inzwischen aktiv in ihre Attacken ein, um bösartige Skripte zu generieren und um Schadcode zu verschleiern – unter anderem. Eine weitere interessante Erkenntnis des Google-Reports: KI-Modelle scheinen ebenso anfällig für Social-Engineering-Angriffe zu sein wie Menschen.

“Eine neue operative Phase des KI-Missbrauchs ist angebrochen. Dabei kommen Tools zum Einsatz, die das Verhalten des Schadcodes während der Ausführung dynamisch verändern, Aktivitäten dieser Art beobachten wir erst seit kurzem, erwarten aber, dass diese weiter zunehmen”, warnen die Forscher.

Die neue KI-Malware

Laut den Google-Sicherheitsexperten wird KI von Cyberkriminellen nicht nur auf neuartige Art und Weise, sondern auch hochgradig systematisch eingesetzt. Zum Beispiel in Form der folgenden, von der GTIG identifizierten, dynamischen neuen Malware-Varianten.

PROMPTSTEAL ist demnach die erste in freier Wildbahn beobachtete Malware, die LLMs abfragt. Sie wird dem GTIG zufolge in erster Linie von Cyberakteuren genutzt, die mit dem russischen Staatsapparat in Verbindung stehen. Um Befehle zu generieren, verwende dieser Data Miner die Hugging Face API, anstatt diese fest in die Schadsoftware zu codieren.

“Die Malware tarnt sich als Programm zur Bildgenerierung und führt die Benutzer zu diesem Zweck durch eine Reihe von Prompts, während im Hintergrund die API genutzt wird, um über das KI-Modell Qwen 2.5-Coder-32B-Instruct schadhafte Kommandos zu erstellen und auszuführen”, erklären die Bedrohungsexperten. Das Ziel der Angreifer bestehe darin, Systeminformationen und Dokumente zu sammeln – und diese an einen Server weiterzuleiten, der unter ihrer Kontrolle steht.

“Diese Methode ist zwar noch experimentell, stellt jedoch einen bedeutenden Schritt hin zu autonomer, anpassungsfähiger Schadsoftware dar”, resümieren die GTIG-Experten.

Bei PROMPTFLUX handelt es sich hingegen um einen sogenannten “Dropper”, der seine maliziöse Aktivität mit Hilfe eines Fake-Installationsprogramms verbirgt. Diese besteht darin, die Gemini-API anzuweisen, seinen Quellcode neu zu schreiben – und neue verschleierte Versionen von diesem zu speichern, um Persistenz sicherzustellen. Diese Malware kann sich auch auf Wechseldatenträger oder zugeordnete Netzlaufwerke kopieren.

Interessanterweise ist die Schadsoftware außerdem mit einem “Thinking Robot”-Modul ausgestattet. Darüber fragt sie den Forschern zufolge regelmäßig Gemini auf neuen Code ab, um Antivirus-Software zu umgehen. Die Google-Forscher beobachteten zudem eine weitere Variante, die über ein weiterentwickeltes Modul verfügte, das dafür sorgt, dass der gesamte Malware-Quellcode stündlich neu geschrieben wird. Auch dabei geht es darum, Signatur-basierte Erkennungsmaßnahmen auszuhebeln. “Das Ziel besteht darin, ein metamorphes Skript zu entwickeln, das sich im Laufe der Zeit eigenständig weiterentwickeln kann”, so die Experten.

Weitere neue, KI-gestützte Malware-Varianten, die die Sicherheitsexperten identifiziert haben, sind:

• FRUITSHELL, eine Reverse-Shell, die eine Remote-Verbindung zu einem Command-and-Control (C2)-Server herstellt. Den Angreifern ermöglicht das, auf kompromittierten Systemen beliebige Befehle auszuführen.
• PROMPTLOCK, eine experimentelle Ransomware, die in Go geschrieben ist und LLMs nutzt, um bösartige Skripte zu erstellen und auszuführen, Systeme auszukundschaften, Daten zu exfiltrieren sowie zu verschlüsseln.
• QUIETVAULT, eine Malware, die darauf ausgelegt ist, GitHub- und npm-Token zu stehlen.

Social Engineering für LLMs

Um die Sicherheitsvorkehrungen von LLMs zu umgehen, gehen Cyberkriminelle laut dem GTIG zudem dazu über, ihre KI-Prompts mit Social-Engineering-Taktiken anzureichern. So berichten die Forscher, dass sich Kriminelle gegenüber Gemini unter anderem als Security-Researcher ausgeben, um dem Bot Informationen zu entlocken, die er eigentlich nicht preisgeben dürfte.

Die Experten des GTIG beschreiben etwa eine Interaktion, bei der ein Angreifer versuchte, Gemini zu nutzen, um Schwachstellen in einem kompromittierten System zu identifizieren. Das sei zunächst durch die Sicherheitsvorkehrungen des Modells blockiert worden. Nachdem der Hacker jedoch seinen Prompt neu formuliert und sich als Teilnehmer eines Capture-the-Flag-Wettbewerbs ausgegeben hatte, habe die Google-KI bereitwillig Tipps zu den nächsten Schritten in dem angeblichen Red-Teaming-Szenario gegeben und dabei wertvolle Informationen für einen erfolgreichen Angriff mitgeliefert, so die Sicherheitsprofis.

Eine weitere Prompt-Taktik von Cybercrime-Akteuren besteht offenbar darin, sich als Studenten auszugeben, um unter dem Deckmantel angeblicher Forschungsarbeiten schadhafte Zwecke zu verfolgen. So beobachteten die GTIG-Forscher einen iranischen Bedrohungsakteur, der diese Taktik anwandte, um sich von Gemini dabei unterstützen zu lassen, maßgeschneiderte Schadsoftware zu erstellen – beispielsweise in Form von Web-Shells und einem C2-Server auf Python-Basis.

KI-Tools für Cyberkriminelle

Die Google Threat Intelligence Group hat im Rahmen ihrer Untersuchungen auch einen Blick auf den Status Quo des Cybercrime-Markts geworfen – und dabei festgestellt, dass illegale KI-Tools zunehmend ausgereift sind. Im Cybercrime-Untergrund sind demnach KI-“Lösungen” besonders populär, die:

• Malware generieren, individualisieren und optimieren.
• Deepfakes ernöglichen, beispielsweise um Content-Köder zu erstellen oder auch um Know-Your-Customer-Anforderungen bei Finanzinstitutionen auszuhebeln.
• Phishing-Kampagnen unterstützen – etwa, indem sie diese automatisiert auf ein breiteres Zielpublikum zuschneiden.
• sich für Recherche- und Aufklärungszwecke einsetzen lassen. Das ermöglicht, schnell Daten zu sammeln und sich einen Überblick über Cybersicherheitskonzepte zu verschaffen.
• Schwachstellen ausnutzen, die sie zuvor anhand öffentlich zugänglicher Informationen über bereits bekannte Sicherheitslücken identifiziert haben.
• technischen Support leisten und Code erstellen.

Die Preismodelle dieser Tools ähnelten dabei zunehmend denen herkömmlicher Softwarelösungen, so die Forscher: “Viele Entwickler solcher Tools veröffentlichen kostenlose Versionen ihrer Lösungen, die Werbung beinhalten. Parallel bieten sie Abonnement-Modelle mit fortschrittlicheren oder zusätzlichen Funktionen an – etwa Bildgenerierung, API-Zugriff oder Zugang zu einem Discord-Server”, heißt es im Report der Google-Sicherheitsprofis.  

Mit Blick auf die zu erwartenden Folgen halten die GTIG-Forscher fest: “Tools und Services dieser Art ermöglichen auch weniger versierten Cyberakteuren mit limitierten technischen Skills und finanziellen Ressourcen, den Umfang, den Impact und die Komplexität ihrer Angriffe drastisch zu steigern. Auch weil diese Tools immer zugänglicher werden, ist damit zu rechnen, dass Bedrohungsakteure künftig immer häufiger auf künstliche Intelligenz zurückgreifen werden.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.