Специалисты компании Check Point обратили внимание, что злоумышленники (в том числе не имеющие никакого опыта в программировании) уже начали использовать языковую модель OpenAI ChatGPT для создания вредоносов и фишинговых писем, которые затем можно будет использовать в вымогательских, спамерских, шпионских, фишинговых и прочих кампаниях.
Напомню, что о возможностях и потенциале ChatGPT мы уже рассказывали в отдельном материале, а сейчас речь пойдет именно о применении языковой модели для создания малвари.
«Пока рано судить, станут ли возможности ChatGPT новым излюбленным инструментом для даркнет-сообщества. Однако киберпреступники уже проявили значительный интерес и используют этот тренд для создания вредоносного кода», — рассказывают в компании.
Исследователи говорят, что еще в прошлом месяце на неназванном хакером форуме был опубликован скрипт, автор которого заявил, что этого его первый опыт в программировании, а ChatGPT сильно помог ему в написании кода.
Опубликованный Python-код сочетал в себе различные криптографические функции, включая подписание кода, шифрование и дешифрование. Так, одна часть скрипта генерировала ключ, используя криптографию на эллиптических кривых и кривую ed25519 для подписи файлов. Другая часть использовала жестко запрограммированный пароль для шифрования системных файлов с помощью алгоритмов Blowfish и Twofish. Третья часть использовала ключи RSA и цифровые подписи, подписание сообщений и хеш-функцию blake2 для сравнения различных файлов.
Получившийся в итоге скрипт можно было использовать для расшифровки одного файла и добавления MAC-кода (message authentication code) в конец файла, а также шифрования жестко заданного пути и расшифровки списка файлов, которые скрипт получает в виде аргумента.
«Конечно, вышеупомянутый код можно использовать и как безобидный. Однако этот скрипт можно легко изменить, чтобы полностью зашифровать чью-либо машину без какого-либо взаимодействия с пользователем. Например, этот код можно превратить в программу-вымогатель, если устранить ряд проблем с синтаксисом», — говорят эксперты.
Также компания описывает и другой случай, когда еще один участник хак-форума с лучшей технической подготовкой опубликовал два примера кода, написанных с использованием ChatGPT. Первым был Python-скрипт для кражи информации, который искал определенные типы файлов (например, PDF, документы MS Office и изображения), копировал их во временный каталог, сжимал их и отправлял на сервер, контролируемый злоумышленником.
Второй фрагмент кода был написан на Java и тайно загружал PuTTY, запуская его с помощью Powershell.
«В целом, этот человек кажется технически продвинутым злоумышленником, и цель его постов — показать другим киберпреступникам с худшей технической подготовкой, как применять ChatGPT во вредоносных целях, с реальными примерами, которые те могут немедленно использовать», — объясняют в Check Point.
Третий пример малвари, созданной с участием ChatGPT, был разработан для автоматизированного маркетплейса, где хакеры покупают и обменивают учетные данные от скомпрометированных учетных записей, данные банковских карт, малварь и другие незаконные товары и услуги. Этот код использует сторонний программный интерфейс для получения текущих курсов криптовалют, включая Monero, Bitcoin и Etherium, помогая пользователям устанавливать цены.
Кроме того, в отчете компании рассказывается, что в начале 2023 года многие злоумышленники в даркнете активно обсуждают использование ChatGPT и других новейших технологий для различных мошеннических схем. Так, большинство преступников сосредоточены на создании изображений с помощью другой технологии OpenAI (Dall-e 2) и их продаже в интернете через различные платформы (например, Etsy). Однако в другом примере злоумышленник рассказывает, что с помощью ChatGPT вполне возможно «написать» электронную книгу или короткий сюжет по заданной теме, а затем продавать полученное в интернете.
Также стоит упомянуть, что в декабре эксперты Check Point и сами попробовали применить мощности ChatGPT для разработки вредоносного ПО и фишинговых писем. Результаты получились вполне рабочими и пугающими. К примеру, ChatGPT попросили создать вредоносный макрос, который можно было скрыть в файле Excel, прикрепленном к письму. Сами эксперты не написали ни строчки кода, но сразу получили довольно примитивный скрипт.
После этого исследователи поручили ChatGPT повторить попытку и улучшить код, после чего качество кода значительно улучшилось.
Затем исследователи использовали более продвинутый ИИ-сервис Codex для разработки реверс-шелла, скрипта для сканирования портов, обнаружения песочницы и компиляции Python-кода в исполняемый файл Windows.
«В результате мы создали фишинговое электронное письмо с прикрепленным к нему документом Excel, содержащим вредоносный код VBA, который загружает реверс-шелл на целевую машину. Вся сложная работа была проделана ИИ, а нам осталось лишь провести атаку», — резюмировали тогда специалисты.
