🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores do Google Threat Intelligence Group (GTIG) afirmam que uma exploração de dia zero direcionada a uma popular ferramenta de administração da Web de código aberto provavelmente foi gerada usando IA.
A exploração poderia ser aproveitada para contornar a proteção de autenticação de dois fatores (2FA) em uma popular ferramenta de administração de sistema baseada na Web e de código aberto que permanece sem nome.
Embora o ataque tenha sido frustrado antes da fase de exploração em massa, o incidente mostra que os agentes da ameaça estão a confiar mais na assistência da IA para os seus esforços de descoberta e exploração de vulnerabilidades.
Com base na estrutura e no conteúdo do código de exploração Python, o Google tem grande confiança de que o adversário usou um modelo de IA para encontrar e transformar a vulnerabilidade em arma.
“Por exemplo, o script contém uma abundância de doutrinas educacionais, incluindo uma pontuação CVSS alucinada, e usa um formato Pythonic de livro didático estruturado, altamente característico dos dados de treinamento de LLMs”, diz GTIG em um relatório hoje.
O modelo de linguagem grande (LLM) usado para a tarefa maliciosa ainda não está claro, mas o Google descarta a possibilidade de o Gemini estar envolvido no processo.
Evidências adicionais que sugerem o uso de ferramentas LLM no processo de descoberta são a natureza da falha - um bug lógico semântico de alto nível que os sistemas de IA se destacam na identificação, em vez de corrupção de memória ou problemas de higienização de entrada normalmente descobertos por meio de difusão ou análise estática.
Fonte: Google
O Google notificou o desenvolvedor de software sobre a ameaça significativa e tomou medidas oportunas para interromper o ataque.
“Pela primeira vez, o GTIG identificou um ator de ameaça usando uma exploração de dia zero que acreditamos ter sido desenvolvida com IA”, afirmam os pesquisadores do GTIG.
Além deste caso, o Google observa que hackers chineses e norte-coreanos, como APT27, APT45, UNC2814, UNC5673 e UNC6201, têm usado modelos de IA para descoberta de vulnerabilidades e desenvolvimento de exploração, continuando a tendência observada no relatório de fevereiro.
Atores ligados à Rússia também foram observados usando código chamariz gerado por IA para ofuscar malware como CANFAIL e LONGSTREAM.
Comentários do código CANFAIL para a lógica iscaFonte: Google
O Google também destacou uma operação russa com o codinome “Overload”, onde agentes de ameaças de engenharia social usaram a clonagem de voz de IA para se passar por jornalistas reais em vídeos falsos que promoviam a narrativa anti-Ucrânia.
O backdoor PromptSpy para Android, documentado pela ESET no início deste ano, também é destacado no relatório do Google por sua integração com APIs Gemini para interação autônoma de dispositivos.
No entanto, o Google também encontrou um módulo de agente autônomo chamado “GeminiAutomationAgent” que usa um prompt codificado para permitir que o malware interaja com o dispositivo de forma automatizada.
Segundo os pesquisadores, a função do prompt é atribuir uma personalidade benigna para que possa contornar os recursos de segurança do LLM. O objetivo é calcular a geometria dos limites da interface do usuário, que o PromptSpy pode usar para interagir com o dispositivo de várias maneiras.
Além disso, o malware utiliza recursos baseados em IA para reproduzir a autenticação no dispositivo, seja na forma de um padrão de bloqueio ou de um PIN, dizem os pesquisadores do Google.
A empresa está alertando que os agentes de ameaças estão agora industrializando o acesso a modelos premium de IA usando criação automatizada de contas, retransmissões de proxy e infraestrutura de agrupamento de contas.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
A exploração poderia ser aproveitada para contornar a proteção de autenticação de dois fatores (2FA) em uma popular ferramenta de administração de sistema baseada na Web e de código aberto que permanece sem nome.
Embora o ataque tenha sido frustrado antes da fase de exploração em massa, o incidente mostra que os agentes da ameaça estão a confiar mais na assistência da IA para os seus esforços de descoberta e exploração de vulnerabilidades.
Com base na estrutura e no conteúdo do código de exploração Python, o Google tem grande confiança de que o adversário usou um modelo de IA para encontrar e transformar a vulnerabilidade em arma.
“Por exemplo, o script contém uma abundância de doutrinas educacionais, incluindo uma pontuação CVSS alucinada, e usa um formato Pythonic de livro didático estruturado, altamente característico dos dados de treinamento de LLMs”, diz GTIG em um relatório hoje.
O modelo de linguagem grande (LLM) usado para a tarefa maliciosa ainda não está claro, mas o Google descarta a possibilidade de o Gemini estar envolvido no processo.
Evidências adicionais que sugerem o uso de ferramentas LLM no processo de descoberta são a natureza da falha - um bug lógico semântico de alto nível que os sistemas de IA se destacam na identificação, em vez de corrupção de memória ou problemas de higienização de entrada normalmente descobertos por meio de difusão ou análise estática.
Fonte: Google
O Google notificou o desenvolvedor de software sobre a ameaça significativa e tomou medidas oportunas para interromper o ataque.
“Pela primeira vez, o GTIG identificou um ator de ameaça usando uma exploração de dia zero que acreditamos ter sido desenvolvida com IA”, afirmam os pesquisadores do GTIG.
Além deste caso, o Google observa que hackers chineses e norte-coreanos, como APT27, APT45, UNC2814, UNC5673 e UNC6201, têm usado modelos de IA para descoberta de vulnerabilidades e desenvolvimento de exploração, continuando a tendência observada no relatório de fevereiro.
Atores ligados à Rússia também foram observados usando código chamariz gerado por IA para ofuscar malware como CANFAIL e LONGSTREAM.
Comentários do código CANFAIL para a lógica iscaFonte: Google
O Google também destacou uma operação russa com o codinome “Overload”, onde agentes de ameaças de engenharia social usaram a clonagem de voz de IA para se passar por jornalistas reais em vídeos falsos que promoviam a narrativa anti-Ucrânia.
O backdoor PromptSpy para Android, documentado pela ESET no início deste ano, também é destacado no relatório do Google por sua integração com APIs Gemini para interação autônoma de dispositivos.
No entanto, o Google também encontrou um módulo de agente autônomo chamado “GeminiAutomationAgent” que usa um prompt codificado para permitir que o malware interaja com o dispositivo de forma automatizada.
Segundo os pesquisadores, a função do prompt é atribuir uma personalidade benigna para que possa contornar os recursos de segurança do LLM. O objetivo é calcular a geometria dos limites da interface do usuário, que o PromptSpy pode usar para interagir com o dispositivo de várias maneiras.
Além disso, o malware utiliza recursos baseados em IA para reproduzir a autenticação no dispositivo, seja na forma de um padrão de bloqueio ou de um PIN, dizem os pesquisadores do Google.
A empresa está alertando que os agentes de ameaças estão agora industrializando o acesso a modelos premium de IA usando criação automatizada de contas, retransmissões de proxy e infraestrutura de agrupamento de contas.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #google: #hackers #usaram #ia #para #desenvolver #exploração #de #dia #zero #para #ferramenta #de #administração #da #web
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário