Um novo bot de IA extremamente popular pode ser usado por possíveis criminosos cibernéticos para ensiná-los a criar ataques e até mesmo escrever ransomware, alertaram especialistas em segurança.
O ChatGPT foi lançado pela empresa de P&D de inteligência artificial OpenAI no mês passado e já ultrapassou um milhão de usuários.
O protótipo do chatbot responde a perguntas com aparente autoridade em linguagem natural, rastreando grandes volumes de dados pela Internet. Pode até ser criativo, por exemplo, escrevendo poesia.
No entanto, seus talentos indubitáveis podem ser usados para diminuir a barreira de entrada para cibercriminosos, alertou o co-fundador da Picus Security , Suleyman Ozarslan.
Ele foi capaz de usar o bot para criar uma campanha crível de phishing da Copa do Mundo e até mesmo escrever algum ransomware macOS. Embora o bot tenha sinalizado que o phishing poderia ser usado para fins maliciosos, ele continuou e produziu o script.
Além disso, embora o ChatGPT esteja programado para não escrever ransomware diretamente, Ozarslan ainda conseguiu o que queria.
“Descrevi as táticas, técnicas e procedimentos do ransomware sem descrevê-lo como tal. É como uma impressora 3D que não ‘imprime uma arma’, mas imprime alegremente um cano, carregador, cabo e gatilho juntos, se você pedir”, explicou.
“Eu disse à IA que queria escrever um software em Swift, queria que ele encontrasse todos os arquivos do Microsoft Office do meu MacBook e enviasse esses arquivos por HTTPS para o meu servidor web. Eu também queria criptografar todos os arquivos do Microsoft Office no meu MacBook e me enviar a chave privada a ser usada para descriptografia. Ele me enviou o código de amostra e, desta vez, não houve nenhuma mensagem de aviso, apesar de ser potencialmente mais perigoso do que o e-mail de phishing.”
Ozarslan disse que o bot também escreveu um “código eficaz de evasão de virtualização/sandbox”, que pode ser usado para ajudar os hackers a evitar ferramentas de detecção e resposta, bem como uma regra de detecção SIGMA.
“Não tenho dúvidas de que o ChatGPT e outras ferramentas como essa vão democratizar o cibercrime”, concluiu.
“Para a OpenAI, há uma clara necessidade de reconsiderar como essas ferramentas podem ser abusadas. Avisos não são suficientes. A OpenAI deve melhorar na detecção e prevenção de solicitações que geram campanhas de malware e phishing.”
Separadamente, o gerente técnico sênior da ExtraHop , Jamie Moles, encontrou resultados igualmente preocupantes quando pediu ajuda ao bot para criar um ataque semelhante ao notório worm ransomware WannaCry.
“Perguntei como usar o Metasploit para usar o exploit EternalBlue e sua resposta foi basicamente perfeita”, explicou ele.
“É claro que o Metasploit em si não é o problema – nenhuma ferramenta ou software é inerentemente ruim até ser mal utilizado. No entanto, ensinar pessoas com pouco conhecimento técnico a usar uma ferramenta que pode ser mal utilizada por meio de uma exploração tão devastadora pode levar a um aumento nas ameaças – principalmente daquelas que alguns chamam de ‘script kiddies’”.
12 thoughts on “Especialistas alertam que o ChatGPT pode democratizar o cibercrime.”
Comments are closed.