São Paulo — O grupo de inteligência de ameaças da Google divulgou na última quarta-feira um relatório apontando a detecção de três novas variantes de malware capazes de se conectar a modelos de linguagem de grande escala (LLMs) para ajustar suas ações durante a invasão.
Quietvault foca no roubo de credenciais
Identificada em sistemas Windows, a cepa Quietvault foi desenvolvida para furtar credenciais de login. Segundo o documento, o código malicioso aciona prompts de IA e ferramentas de linha de comando instaladas no computador comprometido para localizar outros segredos no sistema e exfiltrá-los aos invasores.
Promptflux reescreve o próprio código
A segunda família, chamada Promptflux, utiliza a API da Google para interagir com o chatbot Gemini. Com um módulo batizado de Thinking Robot, o software consulta o modelo de IA a cada hora com pedidos como “Provide a single, small, self-contained VBScript function or code block that helps evade antivirus detection”. O objetivo é receber trechos de código que permitam reescrever todo o agente e, assim, evitar a detecção por antivírus. A Google informou ter desativado os recursos usados pelos atacantes e aplicado salvaguardas adicionais no Gemini antes que houvesse comprometimento de redes ou dispositivos.
Promptsteal opera como trojan disfarçado
A terceira variante, Promptsteal, foi sinalizada por autoridades cibernéticas da Ucrânia em julho. O malware se conecta ao modelo Qwen, desenvolvido pelo Alibaba Group, e se apresenta como um gerador de imagens. Depois de instalado, passa a criar comandos dinamicamente, executá-los localmente e exfiltrar os resultados. Investigadores atribuem a praga ao grupo APT28 (Fancy Bear), associado ao Estado russo.
Reações da comunidade de segurança
O pesquisador Marcus Hutchins, conhecido por ajudar a conter o ransomware WannaCry em 2017, questionou no LinkedIn a real eficácia dos códigos gerados pela IA, afirmando que os prompts observados são genéricos e não especificam métodos claros para burlar antivírus. A Google declarou que o Promptflux está ligado a criminosos com motivação financeira, enquanto o Promptsteal teria respaldo estatal.
Imagem: Internet
Até o momento, não há relatos de grandes incidentes causados pelas três cepas, mas o uso de LLMs para ajustar táticas em tempo real sinaliza uma evolução no ecossistema de ameaças digitais.
Com informações de CISO Advisor