Caçadores de Tecnologia Mantenha-se atualizado com as últimas novidades tecnológicas! Análises, tutoriais e lançamentos de celulares, TVs e mais. Junte-se aos Caçadores de Tecnologia!
Vivemos em uma época em que Grandes Modelos de Linguagem (LLMs) como ChatGPT e Gemini são conhecidos e utilizados por grande parte dos usuários da internet. Mas você sabia que existem LLMs sem restrições, empregados por hackers para fins maliciosos? Chatbots como o WormGPT 4 e o KawaiiGPT, por exemplo, têm evoluído e ampliado o arsenal do crime cibernético.
Especialistas em segurança da Unit 42, da Palo Alto Networks, tiveram acesso a esses dois LLMs criminosos e documentaram suas capacidades e os métodos empregados pelos agentes mal-intencionados, incluindo a criação de criptografadores de ransomware e a movimentação lateral dentro de sistemas comprometidos.
O WormGPT surgiu originalmente em 2023, mas o projeto foi interrompido e só retornou com sua quarta versão em setembro deste ano. Criminosos pagam US$ 50 (aproximadamente R$ 267 na cotação atual) por mês para utilizá-lo ou US$ 220 (cerca de R$ 1.176) para um acesso vitalício. Ele é essencialmente um ChatGPT ‘sem censura’, usado exclusivamente para atividades ilegais.
Já o KawaiiGPT é uma alternativa desenvolvida pela comunidade, identificada em julho deste ano, capaz de criar mensagens de phishing e automatizar a movimentação lateral em sistemas com scripts prontos. Nos testes da Unit 42, foi solicitado ao WormGPT que criasse um código de ransomware para criptografar todos os arquivos PDF de um sistema Windows.
A ferramenta retornou um script PowerShell configurável para buscar extensões de arquivo em determinados diretórios e criptografar seus dados com o algoritmo AES-256. O código também ofereceu a opção de coletar dados via Tor, um requisito operacional realista para os golpes atuais.
Com outra solicitação, o WormGPT 4 também produziu uma nota de resgate eficaz e assustadora, com alegações de uso de ‘criptografia de nível militar’ e um prazo de 72 horas para resposta, sob o risco de dobrar o valor exigido. De acordo com a equipe, a LLM fornece tudo o que é necessário para que um hacker, mesmo inexperiente, possa atacar usando técnicas de criminosos mais experientes.
O KawaiiGPT, testado na versão 2.5, foi instalado e configurado em um sistema Linux em apenas cinco minutos, segundo os pesquisadores.
Com ele, foi possível criar uma mensagem de spear-phishing com falsificação de domínio realista e links para roubo de credenciais. Um script Python para movimentação lateral usando a biblioteca SSH paramiko, com conexão a um host e execução remota de comandos via exec_command(), também foi gerado.
Outro script Python foi criado, desta vez para vasculhar o sistema de arquivos do Windows em busca de alvos usando os.walk, empregando a biblioteca smtplib para coletar e extrair dados para um endereço controlado pelos atacantes. Notas de resgate com instruções de pagamento personalizáveis, prazos e promoção da força da criptografia também foram produzidas.
O KawaiiGPT não foi capaz de gerar um criptografador ou um payload de ransomware como o WormGPT 4, mas conseguiu criar comandos executáveis que permitem escalação de privilégios, roubo de dados e entrega de malwares. Ambas as LLMs possuem centenas de inscritos em seus respectivos canais do Telegram, onde a comunidade de hackers compartilha dicas e conselhos.
De acordo com a Unit 42, a análise dos modelos demonstra que cibercriminosos estão usando ativamente LLMs maliciosas, que não representam mais uma ameaça teórica, mas sim muito real. Os ataques estão se intensificando e reduzindo o tempo necessário para coletar dados sobre as vítimas ou desenvolver malwares, tornando o cenário preocupante para a segurança digital.
