Incidentes Asociados
Introducción
A fines de noviembre de 2022, OpenAI lanzó ChatGPT, la nueva interfaz para su modelo de lenguaje grande (LLM), que instantáneamente generó un gran interés en la IA y sus posibles usos. Sin embargo, ChatGPT también ha agregado algo de sabor al panorama moderno de amenazas cibernéticas, ya que rápidamente se hizo evidente que la generación de código puede ayudar a los actores de amenazas menos calificados a lanzar ataques cibernéticos sin esfuerzo.
En el [blog anterior] (https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/) de Check Point Research (CPR), describimos cómo ChatGPT realizó con éxito un flujo de infección completo, desde la creación de un correo electrónico de phishing selectivo convincente hasta la ejecución de un shell inverso, capaz de aceptar comandos en inglés. La pregunta en cuestión es si se trata solo de una amenaza hipotética o si ya hay actores de amenazas que utilizan tecnologías OpenAI con fines maliciosos.
El análisis de CPR de varias de las principales comunidades clandestinas de piratería muestra que ya hay primeros casos de ciberdelincuentes que usan OpenAI para desarrollar herramientas maliciosas. Como sospechábamos, algunos de los casos mostraron claramente que muchos ciberdelincuentes que usan OpenAI no tienen ninguna habilidad de desarrollo. Aunque las herramientas que presentamos en este informe son bastante básicas, es solo cuestión de tiempo hasta que los actores de amenazas más sofisticados mejoren la forma en que usan las herramientas basadas en IA para hacer el mal.
Caso 1 – Creando Infostealer
El 29 de diciembre de 2022, apareció un hilo llamado "ChatGPT - Beneficios del malware" en un popular foro clandestino de piratería. El editor del hilo reveló que estaba experimentando con ChatGPT para recrear cepas de malware y técnicas descritas en publicaciones de investigación y artículos sobre malware común. Como ejemplo, compartió el código de un ladrón basado en Python que busca tipos de archivos comunes, los copia en una carpeta aleatoria dentro de la carpeta Temp, los comprime y los sube a un servidor FTP codificado.
Nuestro análisis del guión confirma las afirmaciones del ciberdelincuente. De hecho, este es un ladrón básico que busca 12 tipos de archivos comunes (como documentos de MS Office, PDF e imágenes) en todo el sistema. Si se encuentra algún archivo de interés, el malware copia los archivos en un directorio temporal, los comprime y los envía a través de la web. Vale la pena señalar que el actor no se molestó en cifrar o enviar los archivos de forma segura, por lo que los archivos también podrían terminar en manos de terceros.
La segunda muestra que este actor creó usando ChatGPT es un simple fragmento de Java. Descarga PuTTY, un cliente SSH y telnet muy común, y lo ejecuta de forma encubierta en el sistema mediante Powershell. Por supuesto, este script se puede modificar para descargar y ejecutar cualquier programa, incluidas las familias de malware comunes.
La participación anterior en el foro de este actor de amenazas incluye compartir varios scripts como la automatización de la fase posterior a la explotación y un programa C ++ que intenta suplantar las credenciales del usuario. Además, comparte activamente versiones descifradas de SpyNote, un malware RAT de Android. Entonces, en general, este individuo parece ser un actor de amenazas orientado a la tecnología, y el propósito de sus publicaciones es mostrar a los ciberdelincuentes menos capacitados técnicamente cómo utilizar ChatGPT con fines maliciosos, con ejemplos reales que pueden usar de inmediato.
Caso 2: creación de una herramienta de cifrado
El 21 de diciembre de 2022, un actor de amenazas denominado USDoD publicó un script de Python, que enfatizó fue el primer script que creó.
Nuestro análisis del script verificó que es un script de Python que realiza operaciones criptográficas. Para ser más específicos, en realidad es una mezcolanza de diferentes funciones de firma, cifrado y descifrado. A primera vista, el script parece benigno, pero implementa una variedad de funciones diferentes:
- La primera parte del script genera una clave criptográfica (específicamente usa criptografía de curva elíptica y la curva ed25519), que se usa en la firma de archivos.
- La segunda parte del script incluye funciones que usan una contraseña codificada para cifrar archivos en el sistema usando los algoritmos Blowfish y Twofish simultáneamente en un modo híbrido. Estas funciones permiten al usuario cifrar todos los archivos en un directorio específico o una lista de archivos.
- El script también usa claves RSA, usa certificados almacenados en formato PEM, firma MAC y función hash blake2 para comparar los hash, etc.
Es importante tener en cuenta que todas las contrapartes de descifrado de las funciones de cifrado también se implementan en el script. El script incluye dos funciones principales; uno que se usa para cifrar un solo archivo y agregar un código de autenticación de mensaje (MAC) al final del archivo y el otro cifra una ruta codificada y descifra una lista de archivos que recibe como argumento.
Por supuesto, todo el código mencionado anteriormente se puede utilizar de manera benigna. Sin embargo, este script se puede modificar fácilmente para cifrar la máquina de alguien por completo sin ninguna interacción del usuario. Por ejemplo, puede convertir potencialmente el código en ransomware si se solucionan los problemas de secuencia de comandos y sintaxis.
Si bien parece que UsDoD no es un desarrollador y tiene habilidades técnicas limitadas, es un miembro muy activo y respetable de la comunidad clandestina. UsDoD participa en una variedad de actividades ilícitas que incluyen la venta de acceso a empresas comprometidas y bases de datos robadas. Una base de datos robada notable USDoD compartida recientemente fue supuestamente la base de datos InfraGard filtrada.
Caso 3: facilitación de ChatGPT para actividades fraudulentas
Otro ejemplo del uso de ChatGPT para actividades fraudulentas se publicó en la víspera de Año Nuevo de 2022 y demostró un tipo diferente de actividad ciberdelincuente. Si bien nuestros primeros dos ejemplos se centraron más en el uso de ChatGPT orientado al malware, este ejemplo muestra una discusión con el título "Abusar de ChatGPT para crear scripts de Dark Web Marketplaces". En este hilo, el ciberdelincuente muestra lo fácil que es crear un mercado en la Dark Web utilizando ChatGPT. El papel principal del mercado en la economía ilegal clandestina es proporcionar una plataforma para el comercio automatizado de bienes ilegales o robados, como cuentas o tarjetas de pago robadas, malware o incluso drogas y municiones, con todos los pagos en criptomonedas. Para ilustrar cómo usar ChatGPT para estos fines, el ciberdelincuente publicó un fragmento de código que usa API de terceros para obtener precios actualizados de criptomonedas (Monero, Bitcoin y Etherium) como parte del sistema de pago del mercado Dark Web.
A principios de 2023, varios actores de amenazas abrieron discusiones en foros clandestinos adicionales que se centraron en cómo usar ChatGPT para esquemas fraudulentos. La mayoría de estos se centraron en generar arte aleatorio con otra tecnología OpenAI (DALLE2) y venderlos en línea utilizando plataformas legítimas como Etsy. En otro ejemplo, el actor de amenazas explica cómo generar un libro electrónico o un capítulo corto para un tema específico (usando ChatGPT) y vende este contenido en línea.
Resumen
Todavía es demasiado pronto para decidir si las capacidades de ChatGPT se convertirán o no en la nueva herramienta favorita para los participantes en la Dark Web. Sin embargo, la comunidad ciberdelincuente ya ha mostrado un gran interés y se está sumando a esta última tendencia para generar código malicioso. CPR continuará rastreando esta actividad a lo largo de 2023.
Finalmente, no hay mejor manera de aprender sobre el abuso de ChatGPT que preguntándole a ChatGPT. Así que le preguntamos al chatbot sobre las opciones de abuso y recibimos una respuesta bastante interesante: