ChatGPT pode criar malware polimórfico, e agora?

Apesar dos controles de segurança que a OpenAI impôs ao ChatGPT para tentar torná-lo um espaço seguro capaz de auxiliar os usuários em diversas tarefas, os cibercriminosos conseguiram explorar essa tecnologia para fins maliciosos.

Pesquisas recentes mostraram que essa inteligência artificial generativa é capaz de criar um novo ramo de malware polimórfico com relativa facilidade. O principal risco está na versatilidade do ChatGPT, que permite criar códigos que podem ser facilmente usados para malware.

Embora pareça complicado, ignorar os filtros de conteúdo que impedem o ChatGPT de criar códigos maliciosos é realmente bastante simples. Isso amplia o pool de cibercriminosos capazes de criar ameaças avançadas, pois simplifica os processos e elimina a necessidade de conhecimento técnico avançado. Usando consultas contínuas e exigindo que o programa obedeça após sua primeira recusa, e usando a API python em vez da versão da web para fornecer resultados mais consistentes e ignorar os filtros de conteúdo, os pesquisadores descobriram que era possível fazer com que o ChatGPT escrevesse um código funcional exclusivo que você poderia usar maliciosamente. Em seguida, eles descobriram que poderiam fazer com que o ChatGPT mudasse o código e, assim, obtivesse um malware polimórfico que os sistemas de segurança poderiam achar difícil de lidar e altamente evasivo.

Operação e recursos de malware polimórfico

O malware polimórfico tornou-se uma das ameaças mais difíceis de detectar e combater devido à sua persistência e capacidade de alterar sua aparência e comportamento. O software antivírus - pelo menos aqueles que dependem muito de assinaturas ou padrões - luta para detectá-lo devido à sua capacidade de mutação. Como ele se esconde e evita a detecção de forma tão eficaz, pode ter um impacto devastador nos sistemas de computador, roubar informações confidenciais, comprometer a segurança da rede e causar danos irreparáveis. Mas o que torna o malware polimórfico tão complexo de lidar?

• O malware muda de aparência cada vez que é executado: vírus polimórficos são projetados para modificar sua estrutura e aparência “digital” cada vez que são executados, reescrevendo completamente seu código criptografando arquivos e modificando assinaturas de acordo, tornando-os difíceis de detectar por programas antivírus que dependem de assinaturas de vírus conhecidas.

• Transformação do código-fonte: esse malware usa técnicas avançadas de ofuscação de código para evitar a detecção, como técnicas de criptografia e descompactação, ou incorpora código inútil ou irrelevante para dificultar a análise.

• Técnicas de evasão: malware polimórfico pode usar evasão de sandbox e outras técnicas de evasão para evitar detecção e análise.

• Personalização: pode ser altamente personalizado e direcionado, tornando seu padrão de comportamento único e difícil de detectar por programas que dependem da detecção de comportamentos suspeitos.

Para demonstrar do que o malware baseado em IA é capaz, um grupo de pesquisadores construiu uma prova de conceito (PoC), malware do tipo keylogger chamado BlackMamba, gerado com ChatGPT que usa Python para modificar aleatoriamente o programa.

O recurso de keylogging permite que o invasor colete informações confidenciais de qualquer dispositivo e, uma vez obtido, o malware usa uma plataforma de colaboração comum e confiável para exfiltrar os dados coletados por meio de um canal malicioso, para vendê-los na Dark Web ou aproveitá-los em novos ataques .

Graças à linguagem de programação de código aberto Python, os desenvolvedores podem transformar scripts em arquivos executáveis autônomos que podem ser executados em vários sistemas operacionais.

Esse processo demonstra a capacidade da IA de aprender o ambiente de rede e reconhecer padrões de verificação de segurança, permitindo que ele execute malware sem gerar alertas do sistema.

Como mitigar o malware baseado em IA

O malware polimórfico já representa um desafio para os especialistas em segurança cibernética, mas quando a IA o impulsiona, sua complexidade e velocidade de entrega tornam-se ainda maiores, juntamente com uma barreira técnica muito menor à entrada do agente da ameaça para criá-lo. Embora as soluções de segurança tradicionais utilizem sistemas de inteligência de dados multicamadas para combater algumas das ameaças mais sofisticadas de hoje com controles automatizados que visam evitar padrões de comportamento novos ou irregulares, na prática não é tão simples assim. A detecção e resposta estendidas (XDR) oferecem um método complementar de proteção contra esses ataques.

As soluções de XDR, como a ThreatSync da Watchguard, oferecem visibilidade estendida, detecção aprimorada e resposta rápida ao correlacionar a telemetria de diferentes soluções de segurança, o que fornece às equipes de segurança o contexto completo da ameaça. Isso melhora a eficiência e reduz o risco de ser vítima de malware polimórfico, pois os analistas obtêm melhor visibilidade das ameaças e a capacidade de resposta em tempo real é mais rápida.

Saiba mais sobre o XDR e seus recursos de detecção de ameaças visitando o seguinte conteúdo:

• 3 tips on how to differentiate XDR from EDR 

• XDR: what is it, how does it work and how do MSPs use it? 

• Key trends shaping the cybersecurity channel in 2023