A Check Point Research (CPR), analisou as primeiras ocorrências de cibercriminosos usando o ChatGPT para desenvolver ferramentas maliciosas. Em fóruns clandestinos de hackers, os atacantes estão criando infostealers (malware de roubo de informações), ferramentas de criptografia e facilitando atividades fraudulentas. A CPR alerta para o crescente interesse dos cibercriminosos no ChatGPT, que está sendo adotado para escalar e ensinar atividades maliciosas, e detalha três casos recentes, com capturas de tela, do desenvolvimento e compartilhamento de ferramentas maliciosas usando o ChatGPT.
Caso 1: Criar Infostealer
Em 29 de dezembro de 2022, um tópico chamado “ChatGPT – Benefícios do Malware” apareceu em um popular fórum de hackers underground. O editor do tópico revelou que estava experimentando o ChatGPT para recriar tipos de malware e técnicas descritas em publicações de pesquisa e artigos sobre malware comum. Na verdade, embora esse indivíduo possa ser um agente de ameaças orientado para a tecnologia, essas postagens pareciam demonstrar aos cibercriminosos menos capazes tecnicamente como utilizar o ChatGPT para fins maliciosos, com exemplos reais que eles podem usar imediatamente.
Figura 1. Cibercriminoso mostrando como criou o infostealer usando o ChatGPT
Caso 2: Criar uma ferramenta de criptografia multicamadas
Em 21 de dezembro de 2022, um atacante chamado USDoD postou um script Python, que ele enfatizou ser o “primeiro script que ele criou”. Quando outro cibercriminoso comentou que o estilo do código se assemelha ao código openAI, o USDoD confirmou que o OpenAI deu a ele uma “boa ajuda para terminar o script com um bom escopo”. Isso pode significar que cibercriminosos em potencial, com pouca ou nenhuma habilidade de desenvolvimento, podem aproveitar o ChatGPT para desenvolver ferramentas maliciosas e se tornar um cibercriminoso de pleno direito com recursos técnicos.
Todo o código mencionado acima pode, é claro, ser usado de maneira benigna. No entanto, esse script pode ser facilmente modificado para criptografar completamente a máquina de alguém sem qualquer interação do usuário. Por exemplo, pode potencialmente transformar o código em ransomware se os problemas de script e sintaxe forem corrigidos.
Figura 2. Criminoso cibernético apelidado de USDoD publica ferramenta de criptografia multicamada
Figura 3. Confirmação de que a ferramenta de criptografia multicamada foi criada usando o OpenAI
Caso 3: Facilitar o ChatGPT para Atividade de Fraude
Um cibercriminoso mostra como criar scripts de mercado da Dark Web usando o ChatGPT. O principal papel do mercado na economia ilícita clandestina é fornecer uma plataforma para o comércio automatizado de mercadorias ilegais ou roubadas, como contas roubadas ou cartões de pagamento, malware ou mesmo drogas e munições, com todos os pagamentos em criptomoedas.
Figura 4. Atacante usando ChatGPT para criar scripts Dark Web Market
Figura 5. Múltiplos tópicos nos fóruns clandestinos sobre como usar o ChatGPT para atividades fraudulentas
“Os cibercriminosos estão achando o ChatGPT atraente. Nas últimas semanas, vimos evidências de que hackers começaram a usá-lo para escrever códigos maliciosos. O ChatGPT tem o potencial de acelerar o processo para hackers, dando-lhes um bom ponto de partida. Assim como o ChatGPT pode ser usado para ajudar os desenvolvedores a escrever códigos, ele também pode ser aplicado para fins maliciosos. Embora as ferramentas que analisamos sejam bastante básicas, é apenas uma questão de tempo até que cibercriminosos mais sofisticados aprimorem a maneira como usam ferramentas baseadas em IA. A CPR segue investigando o cibercrime relacionado ao ChatGPT para atualizar essas e novas informações”, informa Sergey Shykevich, gerente de Grupo de Inteligência de Ameaças na Check Point Software.
Shykevich relembra que no primeiro blog da Check Point Research (CPR) sobre o assunto, os pesquisadores da CPR descreveram como o ChatGPT conduziu com sucesso um fluxo de infecção completo, desde a criação de um e-mail de spear phishing convincente até a execução de um shell reverso, capaz de aceitar comandos em inglês.
A análise da CPR de várias das principais comunidades de hackers clandestinos comprova o surgimento das primeiras instâncias de cibercriminosos usando o OpenAI para desenvolver ferramentas maliciosas como exemplificado nos casos acima.