Qualquer um pode criar vírus com esta nova inteligência artificial

Vivemos na era em que Grandes Modelos de Linguagem (LLMs) como ChatGPT e Gemini são conhecidos e usados por grande parte dos internautas, mas você sabia que existem LLMs irrestritos usados por hackers para fins maliciosos? Chatbots como o WormGPT 4 e o KawaiiGPT, por exemplo, têm evoluído e aumentado o arsenal do cibercrime.

• O que é LLM? | Large Language Model
• O que é phishing e como se proteger?

Pesquisadores de segurança da Unit 42, da Palo Alto Networks, puseram as mãos nas duas LLMs criminosas e registraram as capacidades e métodos usados pelos agentes maliciosos, como encriptadores de ransomware e movimentação lateral nos sistemas invadidos.

LLMs criminosos e criação de malwares

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O WormGPT nasceu, originalmente, em 2023, mas o projeto foi descontinuado e só ressurgiu na 4ª versão, em setembro deste ano. Criminosos pagam US$ 50 (R$ 267 na cotação atual) por mês para usá-lo ou US$ 220 (R$ 1.176) para acesso vitalício. Ele é basicamente um ChatGPT “sem censura” usado exclusivamente para o crime.

Já o KawaiiGPT é uma alternativa construída pela comunidade, identificado em julho deste ano, capaz de criar mensagens de phishing e automatizar o movimento lateral em sistemas com scripts prontos. Nos testes da Unit 42, foi pedido ao WormGPT que criasse um código ransomware que encriptasse todos os arquivos em PDF de um sistema Windows.

A ferramenta retornou um script PowerShell configurável para caçar extensões de arquivos em alguns caminhos determinados e encriptar seus dados com o algoritmo AES-256. O código ainda deu a opção de coletar dados via Tor, um requerimento operacional realista para os golpes atuais.

Com outro prompt, o WormGPT 4 também produziu uma nota de resgate efetiva e assustadora com afirmações de uso de “encriptação de nível militar” e um prazo de 72 horas para resposta sob o risco de dobrar o valor cobrado. Segundo a equipe, é dado todo o necessário com a LLM para que um hacker, mesmo que leigo, consiga atacar com técnicas de criminosos mais experientes.

Já o KawaiiGPT, testado na versão 2.5, foi instalado e configurado em um sistema Linux em apenas cinco minutos, segundo os pesquisadores.

Com ele, foi possível criar uma mensagem de spear-phishing com spoofing de domínio realista e links para roubo de credenciais. Um script Python para movimentação lateral com biblioteca SSH paramiko, com conexão com um host e execução de comandos remotamente via exec_command(), também foi criado.

Outro script Python também foi gerado, desta vez para pesquisar no filesystem do Windows em busca de alvos usando os.walk, com uso da biblioteca smtplib para coletar e extrair dados a um endereço controlado pelos atacantes. Também foram criadas notas de resgate com instruções de pagamento customizáveis, prazos e promoção da força da encriptação.

O KawaiiGPT não foi capaz de gerar um encriptador ou um payload de ransomware como o WormGPT 4, mas já conseguiu gerar comandos executáveis que permitem a escalada de privilégios, roubo de dados e entrega de malwares. Ambas as LLMs possuem centenas de inscritos em seus respectivos canais do Telegram, onde a comunidade hacker compartilha dicas e conselhos.

Segundo a Unit 42, a análise dos modelos mostra que cibercriminosos estão usando ativamente LLMs maliciosas, não sendo mais uma ameaça teórica, mas muito real. Os ataques estão escalando e diminuindo o tempo necessário para levantar dados sobre as vítimas ou construir malwares, tornando o cenário preocupante para a cibersegurança. 

Confira também:

• Black Friday impulsiona golpes e lavagem de dinheiro no setor de bets
• Com alta de 126%, Brasil lidera uso de deepfakes em fraudes na América Latina
• Black Friday segura: 7 dicas para não cair em golpes

VÍDEO | Chat GPT, Perplexity, Claude, Gemini: QUAL escolher?

Fonte: Palo Alto Networks