ไม่นานมานี้ในรายงานของ Google Threat Intelligence Group (GTIG) ได้เปิดเผยการค้นพบมัลแวร์ AI ตัวใหม่ถึง 2 ตัว
มีชื่อว่า PromptFlux และ PromptSteal ที่ใช้โมเดลภาษาขนาดใหญ่ (Large Language Models หรือ LLM) ในการสร้างสคริปต์ที่เป็นอันตรายแบบไดนามิกและซ่อนโค้ดของตัวเองเพื่อหลบเลี่ยงการตรวจจับ และใช้ประโยชน์จากโมเดล AI เพื่อสร้างฟังก์ชันที่เป็นอันตรายตามต้องการ แทนที่จะเขียนโค้ดแบบฮาร์ดโค้ดลงในมัลแวร์เลย
PromptFlux คือดรอปเปอร์ที่เขียนด้วย VBScript ซึ่งสร้างใหม่โดยใช้ Google Gemini API โดยมัลแวร์จะแจ้งให้ LLM เขียนโค้ดต้นฉบับใหม่ทันที แล้วบันทึกเวอร์ชันที่ซ่อนไว้ในโฟลเดอร์ Startup เพื่อคงไว้ รวมถึงมัลแวร์ยังพยายามแพร่กระจายโดยการคัดลอกตัวเองไปยังไดรฟ์แบบถอดแยกได้และแชร์เครือข่ายที่แมปเตรียมไว้
PromptSteal เป็นเครื่องมือขุดข้อมูลที่เขียนด้วย Python ซึ่งจะเช็คคำสั่ง LLM Qwen2.5-Coder-32B-Instruct เพื่อสร้างคำสั่ง Windows แบบบรรทัดเดียวในการรวบรวมข้อมูลและเอกสารในโฟลเดอร์เฉพาะ และส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) โดย GTIG พบว่า APT28 ซึ่งเป็นองค์กรก่อการร้ายชาวรัสเซียในยูเครน กำลังใช้งาน PromptSteal ขณะที่ PromptFlux กำลังอยู่ระหว่างการพัฒนา
นอกจากนี้ยังมีมัลแวร์ตระกูลอื่นๆ ที่เปิดใช้งาน AI แล้ว ได้แก่
FruitShell: ที่เขียนด้วย PowerShell ซึ่งสร้างการเชื่อมต่อ C2 ระยะไกลและเปิดใช้งานการสั่งการบนระบบเป้าหมาย ใช้พรอมต์แบบฮาร์ดโค้ดเพื่อหลีกเลี่ยงการตรวจจับโดยระบบรักษาความปลอดภัยแบบ LLM
PromptLock: แรนซัมแวร์ที่เขียนด้วยภาษา Go ซึ่งใช้ LLM เพื่อสร้างสคริปต์ Lua ที่เป็นอันตรายแบบไดนามิกขณะรันไทม์สำหรับการสอดแนม เข้ารหัสข้อมูล และขโมยข้อมูล
QuietVault: โปรแกรมขโมยข้อมูลประจำตัว JavaScript ที่ใช้พรอมต์ AI และเครื่องมือ AI CLI ที่ติดตั้งบนโฮสต์เพื่อค้นหาและขโมยข้อมูลลับ
เราต้องยอมรับอย่างหนึ่งว่า ขณะนี้ตลาดอาชญากรรมไซเบอร์สำหรับเครื่องมือ AI กำลังพัฒนาอย่างรวดเร็วและเข้าถึงได้ง่ายมากขึ้น
ที่มา กรุงเทพธุรกิจ / วันที่เผยแพร่ 1 ธันวาคม 2568
Link https://www.bangkokbiznews.com/blogs/tech/ai/1210060
