OpenAI ha interrumpido más de 20 operaciones maliciosas que han estado
abusando de su chatbot impulsado por IA, ChatGPT, para depurar y desarrollar
malware, difundir información errónea, evadir la detección y realizar ataques
de phishing.
El informe, que se centra en las operaciones desde principios de año,
constituye la
primera confirmación oficial de que se utilizan herramientas generativas de
inteligencia artificial para mejorar las operaciones cibernéticas
ofensivas.
Los primeros signos de tal actividad
fueron reportados por Proofpoint en abril, quien sospechaba que TA547 (también conocido como «Scully Spider»)
estaba implementando un cargador PowerShell
escrito por IA para su carga útil final, el info-stealer Rhadamanthys.
El mes pasado, los
investigadores de HP Wolf informaron
con gran confianza que los ciberdelincuentes que apuntaban a usuarios
franceses estaban empleando herramientas de inteligencia artificial para
escribir scripts utilizados como parte de una cadena de infección de
varios pasos.
El último informe de OpenAI confirma el abuso de ChatGPT y presenta casos de
actores de amenazas chinos e iraníes que lo aprovechan para mejorar la
eficacia de sus operaciones.
Uso de ChatGPT en ataques reales
El primer actor de amenazas descrito por OpenAI es ‘SweetSpecter’, un
adversario chino
documentado por primera vez por los analistas de Cisco Talos en noviembre
de 2023
como un grupo de amenazas de ciberespionaje dirigido a gobiernos asiáticos.
OpenAI informa que SweetSpecter los atacó directamente, enviando correos
electrónicos de phishing con archivos adjuntos ZIP maliciosos enmascarados
como solicitudes de soporte a las direcciones de correo electrónico personales
de los empleados de OpenAI.
Si se abrían, los archivos adjuntos desencadenaban una cadena de infección, lo
que provocaba que SugarGh0st RAT cayera en el sistema de la víctima.
Tras una investigación más profunda, OpenAI descubrió que SweetSpecter estaba
utilizando un grupo de cuentas ChatGPT que realizaban investigaciones de
scripting y análisis de vulnerabilidades con la ayuda de la herramienta
LLM.
El segundo caso se refiere al
grupo de amenazas ‘CyberAv3ngers’, afiliado al Cuerpo de la Guardia Revolucionaria Islámica del Gobierno iraní
(IRGC), conocido por atacar sistemas industriales en ubicaciones de
infraestructura crítica en países occidentales.
OpenAI informa que las cuentas asociadas con este grupo de amenazas
solicitaron a ChatGPT que generara credenciales predeterminadas en
controladores lógicos programables (PLC) ampliamente utilizados, desarrollara
scripts personalizados de bash y Python y ofuscara el código.
Los iraníes también utilizaron ChatGPT para planificar su actividad posterior
al compromiso, aprender cómo explotar vulnerabilidades específicas y elegir
métodos para robar contraseñas de usuarios en sistemas macOS, como se detalla
a continuación.
El tercer caso destacado en el informe de OpenAI se refiere a Storm-0817,
también actor de amenazas iraní. Según se informa, ese grupo utilizó ChatGPT
para depurar malware, crear un scrapper de Instagram, traducir perfiles
de LinkedIn al persa y desarrollar un malware personalizado para la plataforma
Android junto con la infraestructura de comando y control de soporte, como se
detalla a continuación.
El malware creado con la ayuda del chatbot de OpenAI puede robar listas de
contactos, registros de llamadas y archivos almacenados en el dispositivo,
tomar capturas de pantalla, examinar el historial de navegación del usuario y
obtener su posición precisa.
«En paralelo, STORM-0817 utilizó ChatGPT para respaldar el desarrollo del
código del lado del servidor necesario para manejar las conexiones desde
dispositivos comprometidos», se lee en el
informe de Open AI.
«Esto nos permitió ver que el servidor de comando y control para este
malware es una configuración WAMP (Windows, Apache, MySQL y PHP/Perl/Python)
y durante las pruebas estaba usando el dominio stickhero[.]pro».
Todas las cuentas de OpenAI utilizadas por los actores de amenazas mencionados
anteriormente fueron prohibidas y los indicadores de compromiso asociados,
incluidas las direcciones IP, se compartieron con socios de ciberseguridad.
Aunque ninguno de los casos descritos anteriormente brinda a los actores de
amenazas nuevas capacidades para desarrollar malware, constituyen una prueba
de que las herramientas de inteligencia artificial generativa pueden hacer que
las operaciones ofensivas sean más eficientes para los actores poco
calificados, ayudándolos en todas las etapas, desde la planificación hasta la
ejecución.
Fuente:
BC
Los comentarios están cerrados.