Um atacante usando um script do PowerShell que provavelmente foi criado com a ajuda de um sistema de inteligência artificial.
O atacante usou o script em uma campanha por e-mail que tinha como alvo dezenas de organizações na Alemanha para entregar o “infostealer” “Rhadamanthys”.
Script PowerShell baseado em IA implanta infostealer
Pesquisadores da Proofpoint, uma empresa de segurança cibernética, identificaram um ataque conduzido pelo atacante conhecido como TA547. Este agente, monitorado desde 2017, está agora utilizando o ladrão modular Rhadamanthys, que amplia suas capacidades de coleta de dados, incluindo a área de transferência, navegador e cookies. Esta é a primeira vez que a Proofpoint detecta o uso do malware Rhadamanthys pelo TA547.
Durante esta campanha, o TA547 se passou pela marca alemã de cash-and-carry Metro, utilizando e-mails com faturas como isca para atingir “dezenas de organizações em vários setores na Alemanha”, conforme observado pelos pesquisadores da Proofpoint.
As mensagens incluíam um arquivo ZIP protegido pela senha “MAR26”, que continha um arquivo de atalho malicioso (.LNK). Acessar o arquivo de atalho acionou o PowerShell para executar um script remoto.
Os pesquisadores explicam que esse método permitiu que o código malicioso fosse executado na memória sem tocar no disco.
Analisando o script do PowerShell que carregou o Rhadamanthys, os pesquisadores notaram que ele incluía um hash(#) seguido de comentários específicos para cada componente, o que é incomum em código criado por humanos.
Os pesquisadores observam que essas características são típicas de códigos gerados por I.A generativa, como o ChatGPT.
Embora não possam ter certeza absoluta de que o script veio de uma de um modelo de linguagem grande (LLM), os pesquisadores dizem que o conteúdo do script sugere a possibilidade de TA547 usar IA generativa para escrever ou reescrever o script do PowerShell.
Além disso, com base nos resultados de experimentos com LLMs gerando código, os pesquisadores têm confiança alta a média de que o script de TA547 usado na campanha de e-mail foi gerado usando esse tipo de tecnologia.
Nós da SecOffice, utilizamos a I.A generativa da OpenAI, conhecido como ChatGPT, para montar um script PowerShell como exemplo demonstrativo de que seria sim possível utilizer a I.A para criar códigos maliciosos.
Como se proteger?
A cada dia a tecnologia avança drasticamente, e os cibercriminosos acompanham e utilizam dessas tecnologias para realizarem ataques cada vez mais sofisticados. Isso ressalta o quão importante é a proteção de especialistas que acompanham e se aprimoram de acordo com a evolução tecnológica, para impedir esses atacantes mal intencionados de comprometerem a segurança de ambientes específicos.
É essencial acompanharmos essa evolução e nos protegermos desses agentes de ameaça. A parceria com consultorias especializadas em cibersegurança, torna o ambiente mais seguro e organizado.
A utilização de SOCs são de extrema importância para que esses ataques seja identificados e impedidos antes que aconteçam. Operações de Red Team e pentests é necessário para a identificação e correção das vulnerabilidades antes que atacantes mal intencionados possam explorá-las e causar grande prejuízo a empresa e a sua imagem. A configuração de ambientes em núvem, como AWS, torna o ambiente muito mais seguro e dificil de comprometer quando realizapo por especialistas em Cloud Security.
