Malware PROMPTFLUX usa Gemini para se reescrever hora a hora
Malware PROMPTFLUX foi detectado pela equipe Google Threat Intelligence Group (GTIG) utilizando a API do modelo Gemini 1.5 Flash para reescrever seu código em Visual Basic Script (VBScript) a cada hora, dificultando a detecção por antivírus baseados em assinatura.
IA cria obfuscação “just-in-time”
O PROMPTFLUX envia prompts altamente específicos ao Gemini, pedindo técnicas de obfuscação e evasão. O script inclui uma chave de API hard-coded, consulta o endpoint do Gemini e salva a versão modificada na pasta Startup do Windows, garantindo persistência. Embora a função de autoatualização esteja comentada, o registro dos retornos da IA em %TEMP%thinking_robot_log.txt mostra a intenção de criar um malware metamórfico.
Propagação e estágio de teste
Além de se instalar no sistema, o código tenta copiar-se para unidades removíveis e pastas de rede mapeadas. Até o momento, não há evidência de exploração inicial automatizada; o Google avalia que o projeto ainda está em fase de desenvolvimento ou teste. Não se sabe quem está por trás da ameaça, mas os indicadores sugerem motivação financeira e alvos variados, sem restrição geográfica ou setorial.
Panorama de ameaças com IA
O GTIG destacou outras famílias que já incorporam grandes modelos de linguagem (LLMs), como FRUITSHELL (reverse shell em PowerShell), PROMPTLOCK (ransomware em Go) e PROMPTSTEAL, usado por grupos russos. Para especialistas da Wired, o uso de IA em “tempo de execução” deve acelerar campanhas maliciosas e baratear ataques de larga escala.
Imagem: Internet
No curto prazo, empreendedores digitais e administradores de sites devem reforçar políticas de atualização de endpoints e monitorar tráfego saindo para APIs de IA. O Google alerta que, com a facilidade de acesso a modelos poderosos, atores maliciosos tornarão esse tipo de ataque a norma, não a exceção.
Quer continuar por dentro dos impactos dessas ameaças? Visite nossa seção de análises de tecnologia e acompanhe as próximas tendências.
Crédito da imagem: The Hacker News
Fonte: The Hacker News