Nach der jüngsten
Analyse der Bedrohungslandschaft ist Googles Threat Intelligence Group zur Erkenntnis gelangt, dass sich die KI-Nutzung durch Kriminelle im vergangenen Jahr grundlegend geändert hat. Wurden KI-Werkzeuge bis anhin von Cyberkriminellen vor allem zur Steigerung der Produktivität genutzt, wird nun neuartige KI-gestützte Malware aktiv in Operationen eingesetzt. Diese Tools sind in der Lage, ihr Verhalten während der Ausführung aktiv zu ändern.
So wurden mit Promptflux und Promptsteal erstmals Malware-Familien entdeckt, die während der Ausführung auf Large Language Models (LLMs) zugreifen. Die Tools erstellen dynamisch Malware-Scripts, um den eigenen Code zu verschleiern und so der Entdeckung zu entgehen. Zudem soll die Malware in der Lage sein, via KI-Modelle schädliche Funktionen nach Bedarf zu erstellen, während die Funktionen bis anhin von Beginn an in die Malware programmiert wurden. Laut Googles Sicherheitsexperten steckt dieses Vorgehen zwar noch in den Kinderschuhen, doch stelle es einen bedeutenden Schritt in Richtung autonomer Malware dar.
Weiter würden Cyberkriminelle Taktiken aus dem Social Engineering zur Umgehung von Sicherheitsvorkehrungen bei KI-Chatbots nutzen. So konnten Akteure beobachtet werden, die sich als Sicherheitsforscher ausgaben, um Gemini dazu zu bewegen, Informationen bereitzustellen, die sonst blockiert würden.
Wie die Threat Intelligence Group ausserdem festgestellt hat, etablieren sich vermehrt KI -Tool-Marktplätze für Cyberkriminelle. Man habe diverse Angebote für multifunktionale Tools identifiziert, die Phishing, Malware-Entwicklung oder die Schwachstellenforschung unterstützen, womit die Einstiegshürde für weniger versierte Akteure gesenkt werde.
Schliesslich würde mit KI-Hilfe der komplette Angriffszyklus erweitert und staatlich geförderte Akteure insbesondere aus Nordkorea, dem Iran oder der Volksrepublik China würden Googles KI-Dienst Gemini missbrauchen, um alle Phasen der Operationen zu verbessern. Dies reiche von der Aufklärung und der Erstellung von Phishing-Ködern über die Entwicklung von Befehls- und Kontrollsystemen bis zum eigentlichen Datendiebstahl.
Im Bericht der Thread Intelligence Group heisst es abschliessend, man untersuche laufend den Missbrauch der eigenen Produkte, Dienste, Nutzer und Plattformen, inklusive böswilliger Cyberaktivitäten durch staatlich unterstützte Akteure. Im Bedarfsfall arbeite man auch mit den Strafverfolgungsbehörden zusammen. Last but not least würden die Erkenntnisse auch in die Produktentwicklung einfliessen, um die Sicherheit der KI-Modelle zu verbessern.
(rd)
