Script malicioso do PowerShell que envia malware parece escrito por IA.
- Quarta, 10th Abril, 2024
- 14:04pm
Um ator de ameaça está usando um script do PowerShell que provavelmente foi criado com a ajuda de um sistema de inteligência artificial, como o ChatGPT da OpenAI, o Gemini do Google ou o CoPilot da Microsoft.
O adversário usou o script em uma campanha por e-mail em março que tinha como alvo dezenas de organizações na Alemanha para entregar o ladrão de informações Rhadamanthys.
PowerShell baseado em IA implanta infostealer
Pesquisadores da empresa de segurança cibernética Proofpoint atribuíram o ataque a um agente de ameaça rastreado como TA547, que se acredita ser um corretor de acesso inicial (IAB).
TA547, também conhecido como Scully Spider, está ativo desde pelo menos 2017, entregando uma variedade de malware para sistemas Windows (ZLoader/Terdot, Gootkit, Ursnif, Corebot, Panda Banker, Atmos) e Android (Mazar Bot, Red Alert).
Recentemente, o agente da ameaça começou a usar o ladrão modular Rhadamanthys que expande constantemente suas capacidades de coleta de dados (área de transferência, navegador, cookies.
O ladrão de informações foi distribuído desde setembro de 2022 para vários grupos de crimes cibernéticos sob o modelo de malware como serviço (MaaS).
De acordo com os pesquisadores da Proofpoint, o TA547 se fez passar pela marca alemã de cash-and-carry Metro em uma recente campanha por e-mail usando faturas como isca para “dezenas de organizações em vários setores na Alemanha”.
As mensagens incluíam um arquivo ZIP protegido pela senha ‘MAR26’, que continha um arquivo de atalho malicioso (.LNK). Acessar o arquivo de atalho acionou o PowerShell para executar um script remoto.
“Este script do PowerShell decodificou o arquivo executável Rhadamanthys codificado em Base64 armazenado em uma variável e carregou-o como um assembly na memória e, em seguida, executou o ponto de entrada do assembly” – Proofpoint
Os pesquisadores explicam que esse método permitiu que o código malicioso fosse executado na memória sem tocar no disco.
Analisando o script do PowerShell que carregou o Rhadamanthys, os pesquisadores notaram que ele incluía um sinal de cerquilha/hash (#) seguido de comentários específicos para cada componente, o que é incomum em código criado por humanos.
Os pesquisadores dizem que essas características são típicas de códigos originados de soluções generativas de IA como ChatGPT, Gemini ou CoPilot.
Embora não possam ter certeza absoluta de que o código do PowerShell veio de uma solução de modelo de linguagem grande (LLM), os pesquisadores dizem que o conteúdo do script sugere a possibilidade de TA547 usar IA generativa para escrever ou reescrever o script do PowerShell.
BleepingComputer usou ChatGPT-4 para criar um script PowerShell semelhante e o código de saída parecia aquele visto pelo Proofpoint, incluindo nomes de variáveis e comentários, indicando ainda que é provável que IA tenha sido usada para gerar o script.
Outra teoria é que eles o copiaram de uma fonte que dependia de IA generativa para codificação.
IA para atividades maliciosas
Desde que a OpenAI lançou o ChatGPT no final de 2022, os agentes de ameaças com motivação financeira têm aproveitado o poder da IA para criar e-mails de phishing personalizados ou localizados, executar varreduras de rede para identificar vulnerabilidades em hosts ou redes ou construir páginas de phishing altamente confiáveis.
Alguns intervenientes estatais associados à China, ao Irão e à Rússia também recorreram à IA generativa para melhorar a produtividade na investigação de alvos, ferramentas de segurança cibernética e métodos para estabelecer persistência e evitar a deteção, bem como suporte de scripts.
Em meados de fevereiro, a OpenAI anunciou que bloqueou contas associadas aos grupos de hackers patrocinados pelo Estado Charcoal Typhoon, Salmon Typhoon (China), Crimson Storm (Irã), Emerald Sleet (Coreia do Norte) e Forest Blizzard (Rússia) que abusam do ChatGPT para fins maliciosos. propósitos.
Como a maioria dos grandes modelos de aprendizagem de idiomas tenta restringir a saída se ela puder ser usada para malware ou comportamento malicioso, os agentes de ameaças lançaram suas próprias plataformas de AI Chat para cibercriminosos .
Fonte: bleepingcomputer.com
