Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, sta osservando i primi casi di criminali informatici e utenti che utilizzano ChatGPT per sviluppare tool pericolosi. Nei forum di hacking clandestini, vengono creati infostealer, strumenti di crittografia e facilitate le attività di frode. CPR avverte del rapido aumento dell’interesse per ChatGPT da parte dei criminali informatici e condivide, di seguito, tre casi recenti di sviluppo e condivisione di tool malevoli utilizzando ChatGPT.
Sergey Shykevich, Threat Intelligence Group Manager di Check Point:
“ChatGPT è stato ideato a fin di bene per assistere gli sviluppatori nella scrittura di codice, ma può anche essere usato per scopi pericolosi. Nelle ultime settimane, stiamo osservando i criminali iniziare a utilizzare ChatGPT per scrivere codice malevolo, dando loro il potenziale per accelerare il processo d’attacco e buone basi di partenza. Sebbene i tool analizzati siano piuttosto elementari, è solo questione di tempo prima che i criminali più tecnici migliorino il modo in cui utilizzano gli strumenti basati sull’intelligenza artificiale. CPR continuerà a indagare nelle prossime settimane sulla criminalità informatica legata a ChatGPT.”
Di seguito gli gli esempi e maggiori informazioni.
Caso 1: creazione di malware infostealer
Il 29 dicembre 2022, su un popolare forum di hacking clandestino è apparso un thread intitolato “ChatGPT – Benefits of Malware”. L’autore del thread ha rivelato che stava sperimentando ChatGPT per ricreare dei malware e le tecniche descritte nelle pubblicazioni di ricerca e negli articoli sui malware più comuni.
In realtà, anche se questo individuo potrebbe essere un aggressore molto tech, questi post sembravano dimostrare ai criminali informatici meno capaci tecnicamente come utilizzare ChatGPT per scopi dannosi, con esempi reali che possono utilizzare immediatamente.
Figure 1. Cybercriminal showing how he created infostealer using ChatGPT
Caso 2: creazione di un tool di crittografia multilivello
Il 21 dicembre 2022, un aggressore soprannominato USDoD ha pubblicato uno script Python, che ha sottolineato essere il “primo script che abbia mai creato”. Quando un altro criminale informatico ha commentato che lo stile del codice assomiglia a quello di OpenAI, USDoD ha confermato che OpenAI gli ha dato una “bella mano a finire lo script con una bella portata”.
Ciò potrebbe significare che i potenziali criminali informatici che hanno poche o nessuna capacità di sviluppo potrebbero sfruttare ChatGPT per sviluppare tool dannosi e diventare nuovi criminali informatici a tutti gli effetti con capacità tecniche.
Il codice sopra menzionato può ovviamente essere utilizzato in modo innocuo. Tuttavia, questo script può essere facilmente modificato per criptare completamente il computer di qualcuno senza alcuna interazione da parte dell’utente. Ad esempio, è possibile trasformare il codice in un ransomware se si risolvono i problemi di script e sintassi.
Figure 2. Cybercriminal dubbed USDoD posts multi-layer encryption tool
Figure 3. Confirmation that the multi-layer encryption tool was created using Open AI
Caso 3: facilitare le attività di frode
Un criminale informatico mostra come creare un marketplace script per il dark web utilizzando ChatGPT. Il ruolo principale del marketplace nell’economia clandestina è quello di fornire una piattaforma per il commercio automatizzato di beni illegali o rubati, come conti o carte di pagamento rubate, malware, o persino droghe e munizioni, con tutti i pagamenti in criptovalute.
Figure 4. Threat actor using ChatGPT to create DarkWeb Market scripts
Figure 5. Multiple threads in the underground forums on how to use ChatGPT for fraud activity
ChatGPT può generare e-mail e codice pericolosi
Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, segnala che gli hacker potrebbero utilizzare ChatGPT e Codex di OpenAI per eseguire attacchi mirati. Per dimostrarlo, CPR ha utilizzato ChatGPT e Codex per produrre e-mail e codici malevoli e una catena di infezione in grado di colpire i computer degli utenti.
CPR ha utilizzato ChatGPT per creare e-mail di phishing e codice malevolo, e ha condiviso esempi della scoperta, sottolineando lo sviluppo di tecnologie AI può cambiare significativamente il panorama delle minacce informatiche.
Utilizzando ChatGPT di Open AI, CPR è stato in grado di creare una e-mail, con un documento Excel allegato contenente codice dannoso in grado di scaricare reverse shell. Gli attacchi di reverse shell puntano a connettersi a un computer e a reindirizzare le connessioni di input e output della shell del sistema di destinazione, in modo che l’aggressore possa accedervi da remoto.
Gli step eseguiti
- Chiedere a ChatGPT di impersonare una società di hosting (Figura 1)
- Chiedere a ChatGPT di ripetere la procedura, creando un’e-mail di phishing con un allegato Excel malevolo (Figura 2)
- Chiedere a ChatGPT di creare un codice VBA dannoso in un documento Excel (Figura 3)
Codice di Open AI
CPR è stato anche in grado di generare codice malevolo utilizzando Codex, ponendo richieste come:
- Eseguire uno script di shell inversa su una macchina Windows e connettersi a un indirizzo IP specifico
- Verificare se l’URL è vulnerabile a SQL injection accedendovi come amministratore
- Scrivere uno script python che esegua una scansione completa della porta sul computer di destinazione
- Conseguentemente il codice dannoso è stato generato da Codex.
Figure 1. Basic phishing email generated by ChatGPT
Figure 2. Iterated Phishing email generated by ChatGPT
Figure 3. Simple VBA code generated by ChatGPT
Quote: Sergey Shykevich, Threat Intelligence Group Manager at Check Point Software:
“ChatGPT has the potential to significantly alter the cyber threat landscape. Now anyone with minimal resources and zero knowledge in code, can easily exploit it to the detriment of his imagination.
It is easy to generate malicious emails and code. Hackers can also iterate on malicious code with ChatGPT and Codex. To warn the public, we demonstrated how easy it is to use the combination of ChatGPT and Codex to create malicious emails and code. I believe these AI technologies represent another step forward in the dangerous evolution of increasingly sophisticated and effective cyber capabilities. The world of cybersecurity is rapidly changing and we want to emphasize the importance of remaining vigilant as ChatGPT and Codex become more mature, as this new and developing technology can affect the threat landscape, for both good and bad.”