Cibercriminosos estão utilizando modelos de linguagem de larga escala (Large Language Models ou simplesmente LLMs) de IA para criar código malicioso, que é entregue por e-mails de phishing, fazem download de outros payloads/recursos, incluindo ameaças como o hadamanthys, NetSupport, CleanUpLoader, ModiLoader, LokiBot e Dunihi.
É algo preocupante quando vemos cibercriminosos utilizando a IA para automatizar a criação e distribuição de malware, o que pode representar grandes desafios para a defesa cibernética.
Uma campanha de ataque cibernético de dimensão considerável está utilizando e-mails de phishing contendo arquivos ZIP protegidos por senha, que possuem arquivos LNK maliciosos que, ao serem executados, baixam scripts PowerShell gerados por IA.
Esses scripts facilitam a implantação de malware em vários setores, explorando táticas de engenharia social (que utilizam a urgência como fator principal), ocultando o malware em documentos aparentemente legítimos.
Existem várias Ferramentas que utilizam o chatGPT como base (OSINVGPT, PentestGPT, WormGPT, BurpGPT, HackerGPT e DarkGPT), que demonstram a facilidade na geração automática de scripts.
Os payloads (cargas úteis) da campanha incluem o malware Rhadamanthys para o roubo de informações e o backdoor CleanUpLoader, indicando um agente de ameaça sofisticado que utiliza a IA para automatizar atividades maliciosas.
Um invasor inicia o ataque enviando um e-mail de phishing disfarçado de um aviso do RH. O e-mail contém um anexo malicioso, induzindo a vítima a abrí-lo, o que marca a fase inicial do ataque, fornecendo assim um ponto de acesso em potencial para outras atividades maliciosas.
Ao executar o anexo malicioso, será acionada a execução de um arquivo HTML gerado por LLM contendo um arquivo Javascript incorporado, que age como um vetor de infecção inicial, projetado para buscar e executar cargas maliciosas adicionais.
Neste post também questionamos sobre se o chatGPT pode ser um perigo para a cibersegurança.
Apesar de exibir uma página web enganosamente simples, o código HTML embutido exibe características distintas geradas por LLM, indicando que este processo automatizado foi feito com uma interação humana mínima. Isso destaca o potencial das LLMs, que facilitam significativamente a produção rápida e em larga escala de conteúdo malicioso.
Os invasores tiraram proveito de LLMs ao gerar código HTML em campanhas de phishing que fazem download de forma silenciosa do loader (carregador) de malware Dunihi (H-Worm).
A campanha é bastante versátil na capacidade de entregar múltiplos payloads, incluindo o ModiLoader, LokiBot e NetSupport RAT, demonstrando que os invasores estão evoluindo.
A IA está “democratizando” rapidamente o crime cibernético, capacitando adversários com ferramentas para criar ataques de phishing sofisticados e gerar código malicioso que antes exigia conhecimentos avançados de programação.
De acordo com a Symantec, o cenários de ameaças evoluirá à medida que os recursos de IA amadurecerem, apresentarem ataques mais potentes, escaláveis e evasivos, exigindo contramedidas robustas para mitigar riscos.
Créditos
https://gbhackers.com/ai-powered-cyber-attacks-llm/
Crédito da imagem usada na capa do post:
https://www.techbusinessnews.com.au/blog/ai-driven-cyber-attacks-the-alarming-surge
Como está se sentindo?
