Modelos de linguagem de grande porte (LLMs) sem restrições, como WormGPT 4 e KawaiiGPT, estão aprimorando sua capacidade de gerar códigos maliciosos, criando scripts funcionais para ransomware e movimento lateral em redes.
Pesquisadores da Unit42, da Palo Alto Networks, testaram esses dois LLMs, que vêm ganhando popularidade entre cibercriminosos por meio de assinaturas pagas ou versões locais gratuitas.
O WormGPT foi lançado originalmente em 2023, mas o projeto foi interrompido no mesmo ano.
Em setembro, a marca voltou ao mercado com o WormGPT 4, oferecido por US$ 50 mensais ou US$ 220 para acesso vitalício.
Ele funciona como uma variante sem censura do ChatGPT, especificamente treinada para operações criminosas.
Como alternativa gratuita e desenvolvida pela comunidade, o KawaiiGPT surgiu em julho deste ano.
Ele é capaz de gerar mensagens de phishing sofisticadas e automatizar o movimento lateral, produzindo scripts prontos para execução.
Nos testes da Unit42, o WormGPT 4 criou um código de ransomware capaz de criptografar todos os arquivos PDF em um host Windows.
O modelo gerou um script em PowerShell configurável para buscar extensões específicas em diretórios determinados, utilizando o algoritmo AES-256 para a criptografia dos dados.
O código gerado ainda incluía uma opção para exfiltrar informações via Tor, reforçando sua aplicabilidade em cenários reais de ataque.
Com outro comando, o WormGPT 4 produziu uma nota de resgate contundente, alegando usar “criptografia de nível militar” e impondo o prazo de 72 horas, após o qual o valor do resgate dobraria.
Segundo os pesquisadores, “WormGPT 4 oferece manipulação linguística convincente para ataques de Business Email Compromise (BEC) e phishing”, o que permite que até mesmo criminosos com pouca experiência realizem ataques sofisticados, antes restritos a especialistas.
O KawaiiGPT, testado na versão 2.5, é um LLM que pode ser configurado em sistemas Linux em cerca de cinco minutos, segundo a Unit42.
Os pesquisadores avaliaram sua capacidade por meio de comandos para:
- Gerar mensagens de spear-phishing com domínio falsificado realista e links para coleta de credenciais.
- Criar um script Python para movimento lateral usando a biblioteca paramiko SSH, que conecta a hosts e executa comandos remotamente via exec_command().
- Desenvolver um script Python que busca recursivamente arquivos específicos no sistema Windows e usa a biblioteca smtplib para compactar e enviar os dados a um endereço controlado pelo atacante.
- Gerar notas de resgate personalizadas, com instruções de pagamento, prazos e alegações típicas sobre a força da criptografia.
Embora o KawaiiGPT não tenha demonstrado a criação de rotinas de criptografia nem payloads de ransomware funcionais como o WormGPT 4, os pesquisadores alertam que sua capacidade de execução de comandos pode permitir escalonamento de privilégios, roubo de dados e implantação de payloads maliciosas adicionais.
Ambos os LLMs contam com centenas de assinantes em seus canais dedicados no Telegram, onde a comunidade compartilha dicas e orientações.
“A análise desses modelos confirma que os atacantes estão usando ativamente LLMs maliciosos no cenário de ameaças”, alerta a Unit42, destacando que essas ferramentas já não são uma ameaça apenas teórica.
Em ambos os casos, iniciantes conseguem realizar ataques avançados em escala, reduzindo o tempo necessário para a pesquisa de vítimas e criação de ferramentas.
Além disso, os modelos geram iscas de phishing polidas e naturais, eliminando os erros gramaticais que costumam denunciar golpes tradicionais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...