Un actor de amenințare folosește un script PowerShell care probabil a fost creat cu ajutorul unui sistem de inteligență artificială cum ar fi ChatGPT de la OpenAI, Gemini de la Google sau CoPilot de la Microsoft.
Adversarul a folosit scriptul într-o campanie de e-mail în martie care a vizat zeci de organizații din Germania pentru a distribui furtul de informații Rhadamanthys.
Cercetătorii de la compania de securitate cibernetică Proofpoint au atribuit atacul unui actor de amenințare urmărit sub numele de TA547, crezut să fie un intermediar de acces inițial (IAB).
TA547, cunoscut și sub numele de Scully Spider, este activ cel puțin din 2017, distribuind o varietate de malware pentru sistemele Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker, Atmos) și Android (Mazar Bot, Red Alert).
Recent, actorul de amenințare a început să folosească furtul modular Rhadamanthys care își extinde constant capacitățile de colectare a datelor (clipboard, browser, cookies).
Furtul de informații a fost distribuit începând cu septembrie 2022 către mai multe grupuri de criminalitate informatică sub modelul de malware ca serviciu (MaaS).
Potrivit cercetătorilor Proofpoint, TA547 s-a dat drept marca germană Metro cash-and-carry într-o recentă campanie de e-mail folosind facturi ca momeală pentru „zeci de organizații din diferite industrii din Germania.”
Mesajele includ un arhivă ZIP protejată cu parola ‘MAR26’, care conținea un fișier de tip shortcut (.LNK) malefic. Accesarea fișierului shortcut a declanșat rularea unui script PowerShell de la distanță.
„Acest script PowerShell a decodificat fișierul executabil Rhadamanthys codificat în Base64 stocat într-o variabilă și l-a încărcat ca o asamblare în memorie și apoi a executat punctul de intrare al asamblării” – Proofpoint
Cercetătorii explică că această metodă a permis codului malefic să fie executat în memorie fără a atinge discul.
Analizând scriptul PowerShell care a încărcat Rhadamanthys, cercetătorii au observat că acesta includea un semn de număr/hash (#) urmat de comentarii specifice pentru fiecare componentă, care sunt neobișnuite în codurile create de oameni.
Cercetătorii spun că aceste caracteristici sunt tipice codurilor originare din soluții AI generative cum ar fi ChatGPT, Gemini sau CoPilot.
Deși nu pot fi absolut siguri că codul PowerShell provine de la o soluție de model de limbaj mare (LLM), cercetătorii spun că conținutul scriptului sugerează posibilitatea ca TA547 să fi folosit AI generativ pentru a scrie sau rescrie scriptul PowerShell.
BleepingComputer a folosit ChatGPT-4 pentru a crea un script PowerShell similar și codul rezultat arăta ca cel văzut de Proofpoint, inclusiv numele variabilelor și comentariile, indicând în continuare că este probabil că AI a fost folosit pentru a genera scriptul.
O altă teorie este că l-au copiat de la o sursă care se bazase pe AI generativ pentru programare.
De când OpenAI a lansat ChatGPT la sfârșitul anului 2022, actorii de amenințare motivați financiar au folosit puterea AI pentru a crea e-mailuri de pescuit personalizate sau localizate, a rula scanări de rețea pentru identificarea vulnerabilităților pe gazde sau rețele sau pentru a construi pagini de pescuit extrem de credibile.
Câțiva actori de stat asociați cu China, Iran și Rusia s-au întors și ei la AI generativ pentru a îmbunătăți productivitatea atunci când investighează ținte, instrumente de securitate cibernetică și metode pentru a stabili persistența și a evita detectarea, precum și suport de scripting.
La mijlocul lunii februarie, OpenAI a anunțat că a blocat conturile asociate grupurilor de hackeri sponsorizați de stat Charcoal Typhoon, Salmon Typhoon (China), Crimson Storm (Iran), Emerald Sleet (Coreea de Nord) și Forest Blizzard (Rusia) care abuzau de ChatGPT în scopuri malefice.
Deoarece majoritatea modelelor de învățare a limbajului mare încearcă să restricționeze ieșirea dacă ar putea fi folosită pentru malware sau comportament malefic, actorii de amenințare au lansat propriile platforme de chat AI pentru infractori cibernetici.
Pagina AI falsă Facebook MidJourney a promovat malware către 1,2 milioane de persoane
PyPI suspendă înregistrarea de noi utilizatori pentru a bloca campania de malware
Hackerii otrăvesc codul sursă din cea mai mare platformă de boturi Discord
Peste 100 de organizații din SUA și UE vizate în atacurile malware StrelaStealer
Notepad++ își dorește ajutorul tău în închiderea „site-ului parazit”
Leave a Reply