Especialistas em segurança cibernética da Proofpoint identificaram uma sofisticada campanha de e-mail que aproveitou a inteligência artificial para criar um script PowerShell para distribuição de malware. A campanha, orquestrada pelo ator ameaçador TA547, também conhecido como Scully Spider, teve como alvo inúmeras organizações em toda a Alemanha, implantando o ladrão de informações Rhadamanthys. Este desenvolvimento sublinha a crescente complexidade das ameaças cibernéticas e o uso inovador da IA pelos cibercriminosos.
O vetor de ataque: personificação e sofisticação
TA547, um primeiro O corretor de acesso conhecido por sua distribuição diversificada de malware, mudou seu foco para a utilização do ladrão modular Rhadamanthys, uma ferramenta que foi distribuída ativamente para vários grupos de crimes cibernéticos desde setembro de 2022. Em sua última operação, os invasores se passaram pelo Metro cash-and-carry marca para enviar e-mails de phishing para dezenas de organizações alemãs. Esses e-mails continham um arquivo ZIP, protegido por senha com ‘MAR26’, que abrigava um arquivo de atalho malicioso. Esse arquivo, após a execução, acionou um script do PowerShell que decodificou e executou o executável Rhadamanthys diretamente na memória, uma técnica que ajuda a evitar a detecção ao não gravar no disco.
O papel da IA no ciberespaço Ataques
O script PowerShell usado no ataque exibiu características que sugerem que ele foi gerado com a ajuda de um sistema de inteligência artificial, como o ChatGPT da OpenAI, o Gemini do Google ou o Copilot da Microsoft. A presença de comentários específicos para cada componente, marcados por um sinal de cerquilha/hash (#), não é típica em scripts escritos por humanos, mas é comum em códigos produzidos por soluções generativas de IA. Embora a evidência direta que liga o script a uma origem gerada por IA seja evasiva, as semelhanças na estrutura e no conteúdo com exemplos gerados por IA fornecem uma forte indicação do envolvimento da IA.
Desde o lançamento do ChatGPT no final de 2022, houve um aumento notável na utilização de IA por cibercriminosos para criar mais e-mails de phishing convincentes, identificação de vulnerabilidades e desenvolvimento de páginas de phishing. Além disso, também foi relatado que intervenientes estatais de países como a China, o Irão e a Rússia aproveitam a IA generativa para melhorar as suas operações cibernéticas. Em resposta ao abuso de tecnologias de IA para fins maliciosos, a OpenAI tomou medidas para bloquear contas associadas a grupos de hackers patrocinados pelo Estado, indicando a natureza de dupla utilização das tecnologias de IA na segurança cibernética.
