Ciberatacantes estão a utilizar IA para gerar malware

A HP publicou o seu mais recente relatório Threat Insights e revelou como os atacantes estão a utilizar Inteligência Artificial (IA) generativa para ajudar a escrever código malicioso. A equipa de investigação de ameaças da HP descobriu uma grande e refinada campanha do ChromeLoader espalhada através de publicidade maliciosa que conduz a ferramentas PDF falsas de aspeto profissional e identificou cibercriminosos que incorporam código malicioso em imagens SVG. 

O relatório fornece uma análise de ciberataques reais, ajudando as organizações a manterem-se a par das mais recentes técnicas que os cibercriminosos estão a utilizar para evitar a deteção e violar os PC no cenário do cibercrime em rápida mudança.

De acordo com o relatório da HP, os cibercriminosos já estão a utilizar IA generativa para criar iscos de phishing convincentes, mas, até à data, há poucas provas de que os autores de ameaças utilizem ferramentas IA generativa para escrever código. A equipa identificou uma campanha dirigida a falantes de francês que utilizava VBScript e JavaScript que se acredita terem sido escritos com a ajuda de IA generativa. A estrutura dos scripts, os comentários que explicam cada linha de código e a escolha de nomes de funções e variáveis na língua nativa são fortes indícios de que o agente da ameaça utilizou IA generativa para criar o malware. O ataque infecta os utilizadores com o malware AsyncRAT disponível gratuitamente, um infostealer fácil de obter que pode gravar os ecrãs e as teclas premidas pela vítima. A atividade mostra como a IA generativa está a baixar a fasquia para os cibercriminosos infetarem os terminais.

As campanhas do ChromeLoader estão a tornar-se maiores e cada vez mais sofisticadas, baseando-se na publicidade maliciosa em torno de palavras-chave de pesquisa populares para encaminhar as vítimas para sítios Web bem concebidos que oferecem ferramentas funcionais, como leitores e conversores de PDF. Estas aplicações funcionais escondem código malicioso num ficheiro MSI, enquanto os certificados válidos de assinatura de código contornam as políticas de segurança do Windows e os avisos do utilizador, aumentando a probabilidade de infeção. A instalação destas aplicações falsas permite que os atacantes assumam o controlo dos browsers das vítimas e redirecionem as pesquisas para sites controlados pelos atacantes.  

Patrick Schläpfer, Investigador Principal de Ameaças no Laboratório de Segurança da HP, comenta, em comunicado, que “a especulação sobre a utilização de IA por parte dos atacantes é abundante, mas as provas têm sido escassas, pelo que esta descoberta é significativa. Normalmente, os atacantes gostam de ocultar as suas intenções para evitar revelar os seus métodos, pelo que este comportamento indica que foi utilizado um assistente de IA para ajudar a escrever o seu código. Estas capacidades reduzem ainda mais a barreira à entrada dos agentes de ameaças, permitindo que novatos sem conhecimentos de programação escrevam scripts, desenvolvam cadeias de infeção e lancem ataques mais prejudiciais”.