Ao investigar um e-mail malicioso, pesquisadores da HP descobriram um malware gerado por serviços de inteligência artificial generativa e usado para entregar o malware AsyncRAT em uma campanha de ataques de phishing.
Phishing: malware de IA usado em ataques
O malware gerado por IA foi descoberto em junho de 2024, a mensagem de phishing usou uma isca com tema de fatura e um anexo HTML criptografado, utilizando contrabando de HTML para evitar a detecção.
O método de criptografia se destacou porque o invasor incorporou a chave de descriptografia AES em JavaScript dentro do anexo, o que é incomum. Após a descriptografia, o anexo imita um site, mas contém VBScript que atua como um dropper para o infostealer AsyncRAT, aponta o Security Affairs.
O VBScript modifica o Registro, descarta um arquivo JavaScript executado como uma tarefa agendada e cria um script PowerShell que aciona a carga útil do AsyncRAT.
Análise do código
A análise do código revelou que os agentes de ameaça por trás da campanha comentaram quase todo o código. Isso é incomum entre autores de malware, pois eles normalmente visam tornar a análise de seu código malicioso mais difícil.
Curiosamente, quando analisamos o VBScript e o JavaScript, ficamos surpresos ao descobrir que o código não estava ofuscado. Na verdade, o invasor deixou comentários em todo o código, descrevendo o que cada linha faz, mesmo para funções simples. Comentários de código genuínos em malware são raros porque os invasores querem tornar o malware o mais difícil de entender possível.
Com base na estrutura dos scripts, comentários consistentes para cada função e a escolha de nomes de função e variáveis, achamos altamente provável que o invasor tenha usado o GenAI para desenvolver esses scripts (T1588.007).5 A atividade mostra como o GenAI está acelerando os ataques e diminuindo o nível de proteção para que os criminosos cibernéticos infectem endpoints.
Relatório “Threat Insights” da HP para o segundo trimestre de 2024
Os agentes de ameaças têm usado IA generativa para criar iscas de phishing, mas seu uso na criação de código malicioso tem sido raro. O caso descrito pela HP destaca como a inteligência artificial generativa está acelerando os ataques cibernéticos e facilitando o desenvolvimento de malware por criminosos.
“A atividade mostra como o GenAI está acelerando ataques e diminuindo o nível de proteção para que os cibercriminosos infectem endpoints.” Por isso, precisamos tomar cada vez mais cuidado online.
Via: Security Affairs