O Google publicou recentemente um relatório de ameaças alertando sobre uma nova geração de malwares com suporte de inteligência artificial (IA) usados para roubar criptomoedas. De acordo com o Google Threat Intelligence Group (GTIG), diversas famílias de malware agora utilizam modelos de linguagem de grande porte (LLMs) para gerar ou modificar código malicioso em tempo real, representando um novo desafio para a segurança digital.
Como o malware com IA funciona
As novas variantes de malware identificadas pelo Google não dependem apenas de códigos pré-programados. Elas geram scripts maliciosos dinamicamente e ofuscam seu próprio código para evitar a detecção. Durante a execução, essas ameaças podem consultar modelos de IA externos, como o Gemini, do Google, ou o Qwen2.5-Coder, para criar funções maliciosas sob demanda, uma técnica chamada de “criação de código just-in-time”.
Essa abordagem permite que o malware se adapte constantemente, tornando muito mais difícil para antivírus e sistemas de defesa tradicionais detectarem e neutralizarem as ameaças.
Principais malwares detectados
O GTIG identificou pelo menos cinco variantes distintas de malware com suporte de IA, destacando principalmente duas:
- PROMPTFLUX: utiliza um processo chamado “Thinking Robot” que acessa a API do Gemini a cada hora para reescrever seu próprio código VBScript automaticamente.
- PROMPTSTEAL: associado ao grupo russo APT28, usa o modelo Qwen hospedado no Hugging Face para gerar comandos do Windows sob demanda.
Além disso, o relatório destaca o grupo norte-coreano UNC1069 (Masan), conhecido por realizar campanhas de roubo de criptomoedas baseadas em engenharia social. Esse grupo utilizou o Gemini para criar scripts que acessam carteiras digitais, armazenamentos criptografados e iscas de phishing multilíngue direcionadas a funcionários de corretoras de criptomoedas.
Medidas de segurança do Google
O Google informou que desativou contas associadas a essas atividades e implementou medidas de segurança adicionais, como:
- Filtros de prompts aprimorados para impedir o uso indevido de seus modelos de IA.
- Monitoramento rigoroso de acesso à API.
- Limitação do uso de modelos para fins maliciosos.
Segundo especialistas do GTIG, essas ações são essenciais para conter uma nova superfície de ataque, em que malwares podem consultar modelos de IA em tempo real para localizar carteiras digitais e criar scripts personalizados de exfiltração ou phishing.
O impacto no mercado de criptomoedas
O uso de IA em ataques cibernéticos contra criptomoedas marca uma mudança significativa no cenário de segurança digital. Com malwares capazes de gerar scripts altamente personalizados, corretoras e investidores devem reforçar suas práticas de segurança, incluindo:
- Uso de carteiras de hardware (hard wallets) para armazenamento seguro.
- Autenticação multifator (MFA) em todas as contas digitais.
- Monitoramento constante de atividades suspeitas em carteiras e exchanges.
A integração de inteligência artificial em ataques cibernéticos evidencia que criminosos estatais e grupos sofisticados estão se adaptando rapidamente às novas tecnologias, aumentando os riscos para quem lida com ativos digitais.
Conclusão
O relatório do Google mostra que a inteligência artificial não é apenas uma ferramenta para inovação, mas também pode ser explorada em atividades criminosas. Com malwares cada vez mais inteligentes, o setor de criptomoedas precisa se manter atento às novas ameaças, aplicando medidas de segurança avançadas para proteger seus ativos digitais.
