เมื่อแฮกเกอร์เริ่มใช้ Malware AI แล้ว
ไม่นานมานี้ในรายงานของ Google Threat Intelligence Group (GTIG) ได้เปิดเผยการค้นพบมัลแวร์ AI ตัวใหม่ถึง 2 ตัว
มีชื่อว่า PromptFlux และ PromptSteal ที่ใช้โมเดลภาษาขนาดใหญ่ (Large Language Models หรือ LLM) ในการสร้างสคริปต์ที่เป็นอันตรายแบบไดนามิกและซ่อนโค้ดของตัวเองเพื่อหลบเลี่ยงการตรวจจับ และใช้ประโยชน์จากโมเดล AI เพื่อสร้างฟังก์ชันที่เป็นอันตรายตามต้องการ แทนที่จะเขียนโค้ดแบบฮาร์ดโค้ดลงในมัลแวร์เลย
PromptFlux คือดรอปเปอร์ที่เขียนด้วย VBScript ซึ่งสร้างใหม่โดยใช้ Google Gemini API โดยมัลแวร์จะแจ้งให้ LLM เขียนโค้ดต้นฉบับใหม่ทันที แล้วบันทึกเวอร์ชันที่ซ่อนไว้ในโฟลเดอร์ Startup เพื่อคงไว้ รวมถึงมัลแวร์ยังพยายามแพร่กระจายโดยการคัดลอกตัวเองไปยังไดรฟ์แบบถอดแยกได้และแชร์เครือข่ายที่แมปเตรียมไว้
PromptSteal เป็นเครื่องมือขุดข้อมูลที่เขียนด้วย Python ซึ่งจะเช็คคำสั่ง LLM Qwen2.5-Coder-32B-Instruct เพื่อสร้างคำสั่ง Windows แบบบรรทัดเดียวในการรวบรวมข้อมูลและเอกสารในโฟลเดอร์เฉพาะ และส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) โดย GTIG พบว่า APT28 ซึ่งเป็นองค์กรก่อการร้ายชาวรัสเซียในยูเครน กำลังใช้งาน PromptSteal ขณะที่ PromptFlux กำลังอยู่ระหว่างการพัฒนา
นอกจากนี้ยังมีมัลแวร์ตระกูลอื่นๆ ที่เปิดใช้งาน AI แล้ว ได้แก่
FruitShell: ที่เขียนด้วย PowerShell ซึ่งสร้างการเชื่อมต่อ C2 ระยะไกลและเปิดใช้งานการสั่งการบนระบบเป้าหมาย ใช้พรอมต์แบบฮาร์ดโค้ดเพื่อหลีกเลี่ยงการตรวจจับโดยระบบรักษาความปลอดภัยแบบ LLM
PromptLock: แรนซัมแวร์ที่เขียนด้วยภาษา Go ซึ่งใช้ LLM เพื่อสร้างสคริปต์ Lua ที่เป็นอันตรายแบบไดนามิกขณะรันไทม์สำหรับการสอดแนม เข้ารหัสข้อมูล และขโมยข้อมูล
QuietVault: โปรแกรมขโมยข้อมูลประจำตัว JavaScript ที่ใช้พรอมต์ AI และเครื่องมือ AI CLI ที่ติดตั้งบนโฮสต์เพื่อค้นหาและขโมยข้อมูลลับ
เราต้องยอมรับอย่างหนึ่งว่า ขณะนี้ตลาดอาชญากรรมไซเบอร์สำหรับเครื่องมือ AI กำลังพัฒนาอย่างรวดเร็วและเข้าถึงได้ง่ายมากขึ้น
โดยเฉพาะอย่างยิ่งตลาดมัลแวร์ AI ได้เติบโตอย่างเต็มที่ พิจารณาได้จากการมีเครื่องมือต่างๆ หลากหลายรูปแบบที่ออกแบบมาเพื่อรองรับฟิชชิ่ง การพัฒนามัลแวร์ และการวิจัยช่องโหว่ รวมถึงมีความพยายามอย่างต่อเนื่องในการหลีกเลี่ยงตัวกรองใน Gemini โดยใช้วิศวกรรมสังคมในพรอมต์
ด้วยเหตุนี้เองทำให้ google ได้ออกมาเตือนหน่วยงานรัฐที่กำลังใช้แชทบอทในทางที่ผิดเพื่อช่วยเหลือในทุกขั้นตอนของการโจมตี ตั้งแต่การลาดตระเวน การสร้างเหยื่อล่อฟิชชิง ไปจนถึงการพัฒนา C2 และการขโมยข้อมูล
นอกจากนี้มัลแวร์ที่ใช้ AI เปลี่ยนแปลงโค้ด ทำให้การตรวจจับแบบดั้งเดิมไม่มีประสิทธิภาพ ผู้ดูแลรับผิดชอบต้องใช้ EDR เชิงพฤติกรรมที่มุ่งเน้นไปที่สิ่งที่มัลแวร์ทำ และการตรวจจับควรเน้นไปที่การสร้างกระบวนการที่ผิดปกติ กิจกรรมการเขียนสคริปต์ หรือการรับส่งข้อมูลขาออก
โดยเฉพาะอย่างยิ่งไปยัง AI API เช่น Gemini, Hugging Face หรือ OpenAI ด้วยการเชื่อมโยงสัญญาณระหว่างอุปกรณ์ปลายทาง SaaS และการวัดข้อมูลประจำตัวทางไกลเพื่อช่วยให้องค์กรต่างๆ สามารถตรวจจับได้ว่า ผู้โจมตีกำลังใช้ AI ในทางที่ผิด และหยุดยั้งก่อนที่ข้อมูลจะถูกขโมย
เราจะเห็นได้ว่า นี่คือการเปลี่ยนแปลงที่สำคัญจากปีที่แล้วที่ AI ถูกใช้งานเพียงเล็กน้อย คือการมุ่งเน้นไปที่อีเมลฟิชชิงและชุดคิท แต่ปัจจุบันคือก้าวสำคัญของมัลแวร์ที่สามารถทำงานได้อย่างอิสระและปรับเปลี่ยนได้ง่ายมากขึ้น
ฉะนั้นการใช้ AI ในทุกขั้นตอนเป็นเรื่องที่ผู้ดูแลรับผิดชอบเครือข่ายต้องกังวลและให้ความสำคัญ เพราะผมเชื่อว่าในอนาคตอันใกล้นี้ เหล่าบรรดาแฮกเกอร์จะเร่งขายชุดคิทที่ใช้ AI แบบครบวงจร ซึ่งสร้างทุกกระบวนการในการโจมตี และนั่นจะสร้างความเสียหายให้กับเหยื่อได้อย่างที่เราคาดไม่ถึงเลยทีเดียวครับ