Um ator de ameaças está utilizando um script PowerShell que foi provavelmente criado com a ajuda de um sistema de inteligência artificial, como o ChatGPT da OpenAI, o Gemini do Google ou o CoPilot da Microsoft.
O adversário utilizou o script em uma campanha de email em março, que visava dezenas de organizações na Alemanha para entregar o stealer de informações Rhadamanthys.
Pesquisadores da empresa de cibersegurança Proofpoint atribuíram o ataque a um ator de ameaça rastreado como TA547, acreditado ser um intermediário de acesso inicial (IAB).
TA547, também conhecido como Scully Spider, atua desde pelo menos 2017 entregando uma variedade de malwares para sistemas Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker, Atmos) e Android (Mazar Bot, Red Alert).
Recentemente, o ator de ameaças começou a usar o stealer modular Rhadamanthys que constantemente expande suas capacidades de coleta de dados (área de transferência, navegador, cookies).
A Proofpoint vem rastreando o TA547 desde 2017 e disse que esta campanha foi a primeira vez que o ator de ameaças foi observado usando o malware Rhadamanthys.
O stealer de informações tem sido distribuído desde setembro de 2022 para vários grupos de cibercrime sob o modelo de malware como serviço (MaaS).
De acordo com os pesquisadores da Proofpoint, o TA547 se passou pela marca alemã Metro cash-and-carry em uma campanha de email recente usando faturas como isca para "dezenas de organizações de várias indústrias na Alemanha".
As mensagens incluíam um arquivo ZIP protegido com a senha 'MAR26', que continha um arquivo de atalho malicioso (.LNK).
Acessar o arquivo de atalho ativava o PowerShell para executar um script remoto.
Os pesquisadores explicam que esse método permitiu que o código malicioso fosse executado na memória sem tocar o disco.
Analisando o script PowerShell que carregava o Rhadamanthys, os pesquisadores notaram que ele incluía um sinal de cerquilha/hash (#) seguido por comentários específicos para cada componente, que são incomuns em códigos criados por humanos.
Os pesquisadores observam que essas características são típicas de código originário de soluções de IA generativa como ChatGPT, Gemini ou CoPilot.
Embora não possam ter certeza absoluta de que o código PowerShell veio de uma solução de modelo de linguagem de grande porte (LLM), os pesquisadores dizem que o conteúdo do script sugere a possibilidade de o TA547 usar IA generativa para escrever ou reescrever o script PowerShell.
Daniel Blackford, diretor de Pesquisa de Ameaças da Proofpoint, esclareceu para o BleepingComputer que, embora os desenvolvedores sejam ótimos em escrever código, seus comentários geralmente são crípticos, ou pelo menos pouco claros e com erros gramaticais.
"O script PowerShell suspeito de ser gerado por LLM é meticulosamente comentado com gramática impecável.
Quase todas as linhas de código têm algum comentário associado," disse Blackford ao BleepingComputer.
Além disso, baseando-se na saída de experimentos com LLMs gerando código, os pesquisadores têm alta a média confiança de que o script que o TA547 usou na campanha de email foi gerado usando este tipo de tecnologia.
O BleepingComputer usou o ChatGPT-4 para criar um script PowerShell similar e o código de saída se assemelhava ao que foi visto pela Proofpoint, incluindo nomes de variáveis e comentários, indicando ainda mais que é provável que a IA tenha sido usada para gerar o script.
Outra teoria é que eles o copiaram de uma fonte que contava com IA generativa para codificação.
Desde que a OpenAI lançou o ChatGPT no final de 2022, atores de ameaças financeiramente motivados têm aproveitado o poder da IA para criar emails de phishing personalizados ou localizados, executar varreduras de rede para identificar vulnerabilidades em hosts ou redes ou construir páginas de phishing altamente críveis.
Alguns atores de estados-nação associados à China, Irã e Rússia também recorreram à IA generativa para melhorar a produtividade ao pesquisar alvos, ferramentas de cibersegurança e métodos para estabelecer persistência e evitar detecção, bem como suporte de scripting.
Em meados de fevereiro, a OpenAI anunciou que bloqueou contas associadas a grupos de hackers patrocinados pelo estado Charcoal Typhoon, Salmon Typhoon (China), Crimson Storm (Irã), Emerald Sleet (Coreia do Norte) e Forest Blizzard (Rússia) abusando do ChatGPT para fins maliciosos.
Como a maioria dos grandes modelos de aprendizado de linguagem tenta restringir a saída se ela puder ser usada para malware ou comportamento malicioso, atores de ameaças lançaram suas próprias plataformas de Chat de IA para criminosos cibernéticos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...