Os desenvolvedores de malware agora estão usando IA generativa para acelerar o processo de escrita de código, acelerando o número de ataques e, essencialmente, permitindo que qualquer pessoa com conhecimento em tecnologia desenvolva malware.
Em um relatório de setembro da equipe Wolf Security da HP, a HP detalhou como eles descobriram uma variação do trojan de acesso remoto assíncrono (AsyncRAT) — um tipo de software que pode ser usado para controlar remotamente o computador de uma vítima — enquanto investigavam um e-mail suspeito enviado a um cliente.
No entanto, embora o AsyncRAT tenha sido desenvolvido por humanos, esta nova versão continha um método de injeção que parecia ter sido desenvolvido usando IA generativa.
No passado, pesquisadores encontraram “iscas de phishing” de IA generativa ou sites enganosos usados para atrair vítimas e enganá-las. Mas, de acordo com o relatório, “houve evidências limitadas de invasores usando essa tecnologia para escrever código malicioso na natureza” antes dessa descoberta.
O programa tinha várias características que forneciam fortes evidências de que ele foi desenvolvido por um programa de IA. Primeiro, quase todas as funções nele eram acompanhadas por um comentário explicando o que ele fazia.
Os cibercriminosos raramente tomam tanto cuidado ao fornecer notas para os leitores, pois geralmente não querem que o público entenda como seu código funciona. Os pesquisadores também acreditavam que a estrutura do código e a “escolha de nomes de funções e variáveis” deram fortes evidências de que o código foi desenvolvido usando IA.
Trecho de código contendo supostas declarações geradas por IA. Fonte: HP Wolf Security
A equipe descobriu o e-mail pela primeira vez quando ele foi enviado a um assinante do software de contenção de ameaças Sure Click da HP. Ele se passava por uma fatura escrita em francês, o que indicava que provavelmente era um arquivo malicioso direcionado a falantes de francês.
No entanto, eles não conseguiram determinar inicialmente o que o arquivo fazia, pois o código relevante estava armazenado dentro de um script que só podia ser descriptografado com uma senha. Apesar desse obstáculo, os pesquisadores finalmente conseguiram quebrar a senha e descriptografar o arquivo, o que revelou o malware oculto nele.
Dentro do arquivo havia um Visual Basic Script (VBScript) que escrevia variáveis no registro do PC do usuário, instalava um arquivo JavaScript em um dos diretórios do usuário e então executava o arquivo JavaScript. Este segundo arquivo carregava a variável do registro e a injetava em um processo Powershell. Mais dois scripts eram então executados, fazendo com que o malware AsyncRAT fosse instalado no dispositivo.
Cadeia de infecção que leva ao AsynRAT. Fonte: HP Wolf Security
De acordo com o desenvolvedor de software de segurança cibernética Blackberry, o AsyncRAT é um software lançado pelo GitHub em 2019. Seus desenvolvedores afirmam que ele é “uma ferramenta legítima de administração remota de código aberto”. No entanto, ele “é usado quase exclusivamente por agentes de ameaças cibercriminosas”.
O software permite que seus usuários “controlem hosts infectados remotamente” fornecendo a eles uma interface de usuário que pode executar tarefas no computador da vítima. Como ele permite que um invasor assuma o controle do computador da vítima, o AsyncRAT pode ser usado para roubar a chave privada ou as palavras-semente de um usuário de criptografia, potencialmente levando à perda de fundos.
Embora o AsyncRAT em si não seja novo, essa variação específica usa um novo método de injeção, e os pesquisadores encontraram sinais reveladores de código gerado por IA nesse método de injeção, indicando que essa nova tecnologia está tornando mais fácil do que nunca para os desenvolvedores de malware realizarem ataques.
“A atividade mostra como a GenAI [IA generativa] está acelerando ataques e diminuindo o nível de proteção para que criminosos cibernéticos infectem endpoints”, afirmou o relatório da HP.
Pesquisadores de segurança cibernética ainda estão lidando com os efeitos do avanço da IA na segurança. Em dezembro, alguns usuários do ChatGPT descobriram que ele poderia ser usado para descobrir vulnerabilidades em contratos inteligentes.
Como muitos na comunidade de criptomoedas notaram na época, isso poderia tornar o programa de IA uma ferramenta útil para hackers white hat, mas também poderia permitir que os black hats encontrassem vulnerabilidades para explorar.
Em maio de 2023, o departamento de segurança da Meta divulgou um relatório alertando que alguns operadores de malware estavam criando versões falsas de programas populares de IA generativa e usando-os como iscas para atrair vítimas.
Revista: Sistema avançado de IA já é “autoconsciente” — fundador da ASI Alliance