Απεριόριστα μοντέλα μεγάλων γλωσσών (LLM) όπως το WormGPT 4 και το KawaiiGPT βελτιώνουν τις δυνατότητές τους να δημιουργούν κακόβουλο κώδικα, παρέχοντας λειτουργικά σενάρια για κρυπτογραφητές ransomware και πλευρική κίνηση.
Ερευνητές στο Palo Alto Networks Unit42 πειραματίστηκαν με τα δύο LLM που βλέπουν αυξημένη υιοθέτηση μεταξύ των εγκληματιών του κυβερνοχώρου μέσω πληρωμένων συνδρομών ή δωρεάν τοπικών παρουσιών.
Το μοντέλο WormGPT εμφανίστηκε αρχικά το 2023, αλλά το έργο φέρεται να διακόπηκε την ίδια χρονιά. Το WormGPT 4 είναι μια αναβίωση της μάρκας που εμφανίστηκε τον Σεπτέμβριο. Είναι διαθέσιμο 50 $/μήνα ή 220 $ για ισόβια πρόσβαση και λειτουργεί ως παραλλαγή ChatGPT χωρίς λογοκρισία, ειδικά εκπαιδευμένη για επιχειρήσεις εγκλήματος στον κυβερνοχώρο.
Μια δωρεάν εναλλακτική λύση με γνώμονα την κοινότητα είναι το KawaiiGPT, που εντοπίστηκε φέτος τον Ιούλιο, το οποίο μπορεί να δημιουργήσει καλά σχεδιασμένα μηνύματα ηλεκτρονικού ψαρέματος και να αυτοματοποιήσει την πλευρική κίνηση δημιουργώντας έτοιμα για εκτέλεση σενάρια.
Το σενάριο ντουλαπιών του WormGPT 4
Οι ερευνητές της ενότητας 42 δοκίμασαν την ικανότητα του κακόβουλου LLM να δημιουργεί κώδικα ransomware που κρυπτογραφεί όλα τα αρχεία PDF σε έναν κεντρικό υπολογιστή των Windows.
Το εργαλείο δημιούργησε μια δέσμη ενεργειών PowerShell που θα μπορούσε να ρυθμιστεί ώστε να αναζητά συγκεκριμένες επεκτάσεις αρχείων σε συγκεκριμένες διαδρομές και να κρυπτογραφεί δεδομένα χρησιμοποιώντας τον αλγόριθμο AES-256.
Πηγή: Ενότητα 42
Σύμφωνα με τους ερευνητές, ο παραγόμενος κώδικας προσέθεσε ακόμη και μια επιλογή εξαγωγής δεδομένων μέσω Tor, η οποία ανταποκρίνεται σε ρεαλιστικές επιχειρησιακές απαιτήσεις.
Με μια άλλη προτροπή, το WormGPT 4 παρήγαγε «ένα ανατριχιαστικό και αποτελεσματικό σημείωμα λύτρων» που ισχυριζόταν «κρυπτογράφηση στρατιωτικού βαθμού» και έδωσε προθεσμία 72 ωρών πριν διπλασιάσει τη ζήτηση πληρωμής.
Πηγή: Ενότητα 42
Σύμφωνα με τους ερευνητές, “Το WormGPT 4 παρέχει αξιόπιστη γλωσσική χειραγώγηση για επιθέσεις BEC και phishing”, που επιτρέπει ακόμη και σε επιτιθέμενους χαμηλής ειδίκευσης να συμμετέχουν σε πιο περίπλοκες επιθέσεις που συνήθως πραγματοποιούνταν από πιο έμπειρους παράγοντες απειλών.
Δυνατότητες KawaiiGPT
Το KawaiiGPT είναι άλλο ένα LLM που τεκμηριώθηκε φέτος. Οι ερευνητές της Ενότητας 42 δοκίμασαν την έκδοση 2.5 και ισχυρίζονται ότι η εγκατάστασή της σε σύστημα Linux διαρκεί μόλις πέντε λεπτά.
Πηγή: Ενότητα 42
Οι ερευνητές δοκίμασαν τις δυνατότητές του χρησιμοποιώντας προτροπές που του δίνουν εντολή να δημιουργήσει:
- μια δημιουργία μηνυμάτων spear-phishing με ρεαλιστικές πλαστογράφηση τομέα και συνδέσμους συλλογής διαπιστευτηρίων.
- ένα σενάριο Python για πλευρική κίνηση που χρησιμοποιούσε τη βιβλιοθήκη paramiko SSH για να συνδεθεί με έναν κεντρικό υπολογιστή και να εκτελέσει εντολές εξ αποστάσεως μέσω exec_command()
- ένα σενάριο Python που αναζητούσε αναδρομικά σε ένα σύστημα αρχείων των Windows για αρχεία προορισμού χρησιμοποιώντας os.βόλτακαι στη συνέχεια χρησιμοποίησε Python’s smtplib βιβλιοθήκη για να συσκευάσει και να διευρύνει τα δεδομένα σε μια διεύθυνση ελεγχόμενη από τους εισβολείς.
- Δημιουργήστε σημειώσεις λύτρων με προσαρμόσιμες οδηγίες πληρωμής, χρονικά πλαίσια και τυπικές αξιώσεις ισχύος κρυπτογράφησης
Πηγή: Ενότητα 42
Αν και το KawaiiGPT δεν επέδειξε τη δημιουργία μιας πραγματικής ρουτίνας κρυπτογράφησης ή ενός λειτουργικού ωφέλιμου φορτίου ransomware όπως το WormGPT 4, οι ερευνητές προειδοποιούν ότι η ικανότητα εκτέλεσης εντολών του θα μπορούσε να επιτρέψει στους εισβολείς να κλιμακώσουν τα προνόμια, να κλέψουν δεδομένα και να αποθέσουν και να εκτελέσουν πρόσθετα ωφέλιμα φορτία.
Και τα δύο κακόβουλα LLM έχουν εκατοντάδες εγγεγραμμένα μέλη στα ειδικά κανάλια Telegram τους, όπου η κοινότητα ανταλλάσσει συμβουλές και συμβουλές.
«Η ανάλυση αυτών των δύο μοντέλων επιβεβαιώνει ότι οι εισβολείς χρησιμοποιούν ενεργά κακόβουλα LLM στο τοπίο των απειλών», προειδοποιεί η Ενότητα 42, σημειώνοντας επίσης ότι τα εργαλεία δεν αντιπροσωπεύουν πλέον μια θεωρητική απειλή.
Και στα δύο σενάρια, οι άπειροι εισβολείς αποκτούν την ικανότητα να διεξάγουν πιο προηγμένες επιθέσεις σε κλίμακα, μειώνοντας τον χρόνο που απαιτείται για την έρευνα θυμάτων ή την κατασκευή εργαλείων. Τα μοντέλα παράγουν επίσης γυαλιστερά, φυσικού ήχου θέλγητρα phishing που δεν διαθέτουν τα ενδεικτικά γραμματικά λάθη των παραδοσιακών απατών.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
