Problème 2485

Incidents associés

Incident 44325 Rapports
ChatGPT Abused to Develop Malicious Softwares

Loading...
OPWNAI : les cybercriminels commencent à utiliser ChatGPT
research.checkpoint.com · 2023

Introduction

Fin novembre 2022, OpenAI a publié ChatGPT, la nouvelle interface de son Large Language Model (LLM), qui a instantanément suscité un regain d'intérêt pour l'IA et ses utilisations possibles. Cependant, ChatGPT a également ajouté du piquant au paysage moderne des cybermenaces, car il est rapidement devenu évident que la génération de code peut aider les acteurs de la menace moins qualifiés à lancer sans effort des cyberattaques.

Dans le [blog précédent] de Check Point Research (CPR) (https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/), nous avons décrit comment ChatGPT a mené avec succès un flux d'infection complet, de la création d'un e-mail de harponnage convaincant à l'exécution d'un shell inversé, capable d'accepter des commandes en anglais. La question qui se pose est de savoir s'il s'agit simplement d'une menace hypothétique ou s'il existe déjà des acteurs de la menace utilisant les technologies OpenAI à des fins malveillantes.

L'analyse par CPR de plusieurs grandes communautés de piratage clandestin montre qu'il existe déjà des premiers cas de cybercriminels utilisant OpenAI pour développer des outils malveillants. Comme nous le soupçonnions, certains des cas ont clairement montré que de nombreux cybercriminels utilisant OpenAI n'ont aucune compétence en développement. Bien que les outils que nous présentons dans ce rapport soient assez basiques, ce n'est qu'une question de temps avant que des acteurs de la menace plus sophistiqués améliorent la façon dont ils utilisent les outils basés sur l'IA pour le mal.

Cas 1 – Création d'Infostealer

Le 29 décembre 2022, un fil de discussion nommé "ChatGPT - Avantages des logiciels malveillants" est apparu sur un forum de piratage clandestin populaire. L'éditeur du fil a révélé qu'il expérimentait ChatGPT pour recréer des souches de logiciels malveillants et des techniques décrites dans des publications de recherche et des articles sur des logiciels malveillants courants. À titre d'exemple, il a partagé le code d'un voleur basé sur Python qui recherche les types de fichiers courants, les copie dans un dossier aléatoire à l'intérieur du dossier Temp, les zippe et les télécharge sur un serveur FTP codé en dur.

Notre analyse du script confirme les affirmations du cybercriminel. Il s'agit en effet d'un voleur de base qui recherche 12 types de fichiers courants (tels que des documents MS Office, des fichiers PDF et des images) sur l'ensemble du système. Si des fichiers intéressants sont trouvés, le logiciel malveillant les copie dans un répertoire temporaire, les compresse et les envoie sur le Web. Il convient de noter que l'acteur n'a pas pris la peine de crypter ou d'envoyer les fichiers en toute sécurité, de sorte que les fichiers pourraient également se retrouver entre les mains de tiers.

Le deuxième exemple créé par cet acteur à l'aide de ChatGPT est un simple extrait de code Java. Il télécharge PuTTY, un client SSH et telnet très courant, et l'exécute secrètement sur le système à l'aide de Powershell. Ce script peut bien sûr être modifié pour télécharger et exécuter n'importe quel programme, y compris les familles de logiciels malveillants courants.

La participation antérieure de cet acteur menaçant au forum comprend le partage de plusieurs scripts comme l'automatisation de la phase de post-exploitation et un programme C++ qui tente de hameçonner les informations d'identification de l'utilisateur. De plus, il partage activement des versions crackées de SpyNote, un malware Android RAT. Donc, dans l'ensemble, cet individu semble être un acteur menaçant axé sur la technologie, et le but de ses messages est de montrer aux cybercriminels moins capables techniquement comment utiliser ChatGPT à des fins malveillantes, avec des exemples réels qu'ils peuvent utiliser immédiatement.

Cas 2 - Création d'un outil de chiffrement

Le 21 décembre 2022, un auteur de menaces surnommé USDoD a publié un script Python, qui, a-t-il souligné, était le premier script qu'il ait jamais créé.

Notre analyse du script a vérifié qu'il s'agit d'un script Python qui effectue des opérations cryptographiques. Pour être plus précis, il s'agit en fait d'un méli-mélo de différentes fonctions de signature, de cryptage et de décryptage. À première vue, le script semble bénin, mais il implémente une variété de fonctions différentes :

  • La première partie du script génère une clé cryptographique (utilise spécifiquement la cryptographie à courbe elliptique et la courbe ed25519), qui est utilisée dans les fichiers de signature.
  • La deuxième partie du script comprend des fonctions qui utilisent un mot de passe codé en dur pour chiffrer les fichiers dans le système en utilisant simultanément les algorithmes Blowfish et Twofish en mode hybride. Ces fonctions permettent à l'utilisateur de chiffrer tous les fichiers d'un répertoire spécifique ou d'une liste de fichiers.
  • Le script utilise également des clés RSA, utilise des certificats stockés au format PEM, la signature MAC et la fonction de hachage blake2 pour comparer les hachages, etc.

Il est important de noter que tous les équivalents de décryptage des fonctions de cryptage sont également implémentés dans le script. Le script comprend deux fonctions principales ; l'un qui est utilisé pour chiffrer un seul fichier et ajouter un code d'authentification de message (MAC) à la fin du fichier et l'autre chiffre un chemin codé en dur et déchiffre une liste de fichiers qu'il reçoit en argument.

Tout le code mentionné ci-dessus peut bien sûr être utilisé de manière bénigne. Cependant, ce script peut facilement être modifié pour chiffrer complètement la machine de quelqu'un sans aucune interaction de l'utilisateur. Par exemple, il peut potentiellement transformer le code en rançongiciel si les problèmes de script et de syntaxe sont résolus.

Bien qu'il semble que UsDoD ne soit pas un développeur et ait des compétences techniques limitées, il est un membre très actif et réputé de la communauté underground. UsDoD est engagé dans une variété d'activités illicites qui incluent la vente d'accès à des entreprises compromises et à des bases de données volées. Une base de données volée notable USDoD partagée récemment était prétendument la base de données InfraGard divulguée.

Cas 3 - Facilitation de ChatGPT pour les activités frauduleuses

Un autre exemple de l'utilisation de ChatGPT pour des activités frauduleuses a été publié le soir du Nouvel An 2022, et il a démontré un type différent d'activité cybercriminelle. Alors que nos deux premiers exemples se concentraient davantage sur l'utilisation de ChatGPT axée sur les logiciels malveillants, cet exemple montre une discussion intitulée "Abusing ChatGPT to create Dark Web Marketplaces scripts". Dans ce fil, le cybercriminel montre à quel point il est facile de créer un marché du Dark Web à l'aide de ChatGPT. Le rôle principal du marché dans l'économie illicite souterraine est de fournir une plate-forme pour le commerce automatisé de biens illégaux ou volés comme des comptes ou des cartes de paiement volés, des logiciels malveillants, ou même des drogues et des munitions, avec tous les paiements en crypto-monnaies. Pour illustrer comment utiliser ChatGPT à ces fins, le cybercriminel a publié un morceau de code qui utilise une API tierce pour obtenir les prix à jour des crypto-monnaies (Monero, Bitcoin et Etherium) dans le cadre du système de paiement du marché du Dark Web.

Au début de 2023, plusieurs acteurs de la menace ont ouvert des discussions dans d'autres forums clandestins axés sur l'utilisation de ChatGPT pour des stratagèmes frauduleux. La plupart d'entre eux se concentraient sur la génération d'œuvres d'art aléatoires avec une autre technologie OpenAI (DALLE2) et leur vente en ligne à l'aide de plateformes légitimes comme Etsy. Dans un autre exemple, l'auteur de la menace explique comment générer un livre électronique ou un court chapitre sur un sujet spécifique (à l'aide de ChatGPT) et vend ce contenu en ligne.

Résumé

Il est encore trop tôt pour décider si les fonctionnalités de ChatGPT deviendront ou non le nouvel outil préféré des participants au Dark Web. Cependant, la communauté cybercriminelle a déjà manifesté un intérêt considérable et saute dans cette dernière tendance pour générer du code malveillant. Le CFCP continuera de suivre cette activité tout au long de 2023.

Enfin, il n'y a pas de meilleur moyen d'en savoir plus sur les abus de ChatGPT qu'en demandant ChatGPT lui-même. Nous avons donc interrogé le chatbot sur les options d'abus et avons reçu une réponse assez intéressante :

Lire la source