Die Bedrohung droht, da Cyberkriminelle künstliche Intelligenz nutzen, um bisher unbekannte Schwachstellen in beispiellosem Ausmaß zu schaffen

Cyberkriminelle und staatlich unterstützte Hacker nutzen zunehmend generative KI, um die Entwicklung von Exploits zu beschleunigen, Malware-Vorgänge zu automatisieren und Cyberkampagnen zu skalieren, erklärte die Threat Intelligence Division (GTIG) von Google in einem am Montag veröffentlichten Bericht.

Die Ergebnisse zeigen eine Verlagerung von begrenzten KI-Experimenten hin zu groß angelegten operativen Einsätzen, wobei Angreifer KI zur Durchführung von Angriffen nutzen, selbst wenn KI-Infrastruktur und Software-Ökosysteme selbst zu Zielen werden.

Zum ersten Mal hat GTIG einen realen Zero-Day-Exploit identifiziert, der mit KI-Unterstützung entwickelt wurde.

Dem Bericht zufolge bauten kriminelle Akteure im Vorfeld einer geplanten Massenverwertungsaktion eine 2FA-Umgehungslösung für ein beliebtes Open-Source-Webverwaltungstool. Die Kampagne wurde vor der Bereitstellung unterbrochen, nachdem GTIG mit dem Anbieter bei der verantwortungsvollen Offenlegung zusammengearbeitet hatte.

Die Forscher stellten fest, dass mit China und Nordkorea verbundene Bedrohungsakteure anhaltendes Interesse an KI-gestützter Schwachstellenforschung gezeigt haben, einschließlich der Verwendung personenbasierter Eingabeaufforderungen, automatisierter Exploit-Analysen und Agenten-Frameworks zur Skalierung von Aufklärungs- und Testaktivitäten.

PROMPTSPY und KI-gesteuerte Malware

Auf der Malware-Seite hob der Bericht PROMPTSPY hervor, eine Android-Hintertür, die einen autonomen Agenten einbettet, der den Zustand der Benutzeroberfläche des Geräts an die Gemini-API von Google weiterleitet, im Gegenzug strukturierte Befehle erhält und diese ohne menschliche Aufsicht ausführt (Klicken, Wischen, Navigieren).

Es kann biometrische Daten erfassen, Authentifizierungsgesten wiedergeben und sogar seine eigene Deinstallation verhindern, indem es eine unsichtbare Überlagerung über der Schaltfläche „Deinstallieren“ erstellt, die Berührungsereignisse stillschweigend verschluckt.

Die Forscher dokumentierten auch KI-gestützte Verschleierungstechniken in Malware im Zusammenhang mit Operationen im Zusammenhang mit Russland, darunter dynamisch generierter Code und von KI erzeugte Täuschungslogik, die Erkennungssysteme umgehen soll.

Google warnte davor, dass Angreifer eine professionelle Infrastruktur aufbauen, um über Proxy-Relays, automatisierte Kontoerstellung und Versuchsmissbrauchsprogramme anonymisierten, groß angelegten Zugriff auf Premium-KI-Modelle zu erhalten.

Gleichzeitig greifen Angreifer die KI-Software-Lieferkette selbst an, einschließlich Open-Source-KI-Tools und Modellintegrationsschichten, um sich ersten Zugriff auf Unternehmenssysteme zu verschaffen und Zugangsdaten für Ransomware- und Erpressungsoperationen zu stehlen.

Das Unternehmen gab an, dass es KI defensiv durch Tools wie Big Sleep und CodeMender einsetzt, um Schwachstellen zu identifizieren und zu beheben und gleichzeitig die Sicherheitsmaßnahmen für Gemini und verwandte Dienste zu erweitern.