Uma nova família de malware chamada LameHug está utilizando um modelo de linguagem de grande escala (LLM) para gerar comandos a serem executados em sistemas Windows comprometidos.
LameHug foi descoberta pela equipe nacional de resposta a incidentes cibernéticos da Ucrânia (CERT-UA) e atribuiu os ataques ao grupo de ameaças apoiado pelo estado russo APT28 (também conhecido como Sednit, Sofacy, Pawn Storm, Fancy Bear, STRONTIUM, Tsar Team, Forest Blizzard).
O malware é escrito em Python e depende da API do Hugging Face para interagir com o LLM Qwen 2.5-Coder-32B-Instruct, capaz de gerar comandos de acordo com os prompts fornecidos.
Criado pela Alibaba Cloud, o LLM é de código aberto e projetado especificamente para gerar código, raciocínio e seguir instruções focadas em programação.
Ele pode converter descrições em linguagem natural em código executável (em várias linguagens) ou comandos de shell.
O CERT-UA encontrou o LameHug após receber relatos em 10 de julho sobre e-mails maliciosos enviados de contas comprometidas e se passando por oficiais do ministério, tentando distribuir o malware para órgãos governamentais executivos.
Os e-mails contêm um anexo ZIP que contém um carregador LameHub.
O CERT-UA identificou pelo menos três variantes denominadas ‘Attachment.pif,’ ‘AI_generator_uncensored_Canvas_PRO_v0.9.exe,’ e ‘image.py.’
A agência ucraniana atribui essa atividade, com média confiança, ao grupo de ameaças russo APT28.
Nos ataques observados, LameHug foi encarregado de executar comandos de reconhecimento do sistema e roubo de dados, gerados dinamicamente via prompts ao LLM.
Esses comandos gerados por IA foram usados pelo LameHug para coletar informações do sistema e salvá-las em um arquivo de texto (info.txt), buscar recursivamente documentos em diretórios-chave do Windows (Documentos, Desktop, Downloads) e exfiltrar os dados usando SFTP ou requisições HTTP POST.
LameHug é o primeiro malware documentado publicamente a incluir suporte LLM para realizar as tarefas do atacante.
Do ponto de vista técnico, isso pode inaugurar um novo paradigma de ataque, onde os atores de ameaças podem adaptar suas táticas durante um comprometimento sem a necessidade de novos payloads.
Além disso, usar a infraestrutura do Hugging Face para fins de comando e controle pode ajudar a tornar a comunicação mais furtiva, mantendo a intrusão não detectada por um período mais longo.
Usar comandos gerados dinamicamente também pode ajudar o malware a permanecer não detectado por softwares de segurança ou ferramentas de análise estática que procuram por comandos codificados.
O CERT-UA não declarou se os comandos gerados pelo LLM e executados pelo LameHug foram bem-sucedidos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...