O avanço da Inteligência Artificial generativa está transformando diversas áreas da tecnologia, desde produtividade até desenvolvimento de software. No entanto, esse mesmo avanço também está sendo explorado por criminosos digitais. Pesquisadores de segurança começaram a observar uma nova tendência preocupante: malware gerado por IA, criado com auxílio de LLMs (Large Language Models) para acelerar o desenvolvimento de ferramentas maliciosas.
Um exemplo recente dessa nova realidade é o Slopoly malware, identificado por pesquisadores da IBM X-Force em um relatório técnico que analisa sua relação com o ransomware Interlock. A descoberta mostra como grupos cibercriminosos estão utilizando ferramentas de IA para produzir código mais rapidamente, mesmo sem grande conhecimento técnico.
Mais do que apenas uma nova ameaça, o malware gerado por IA representa uma mudança estrutural no cenário da segurança digital e IA, pois reduz barreiras para criação de ataques sofisticados. Isso aumenta a velocidade com que campanhas de ransomware podem ser desenvolvidas e lançadas.
O que é o Slopoly: O malware “educado” pela IA
O Slopoly malware foi identificado durante uma investigação conduzida pela equipe da IBM X-Force, que analisava campanhas ligadas ao ransomware Interlock. Durante a análise do código, os pesquisadores encontraram sinais claros de que o programa possivelmente foi gerado ou fortemente assistido por Inteligência Artificial.
Um dos principais indícios está na forma como o código foi escrito. O malware apresenta nomes de variáveis extremamente claros e descritivos, além de comentários estruturados de maneira incomum para malwares tradicionais. Em vez de abreviações ou códigos confusos, o Slopoly inclui trechos como descrições completas de funções e etapas do processo.
Esse padrão é típico de códigos produzidos por LLMs de programação, que tendem a gerar scripts bem documentados e legíveis, algo raramente visto em malwares criados manualmente por grupos criminosos.
Outra característica curiosa envolve a tentativa de implementar polimorfismo, técnica usada para modificar automaticamente partes do código a cada execução e dificultar a detecção por antivírus. No entanto, no caso do Slopoly, essa implementação não funciona corretamente na prática, sugerindo que o código pode ter sido gerado automaticamente sem refinamento manual aprofundado.
Essa ironia revela um ponto importante: embora a IA facilite a criação de malware, ela também pode gerar falhas técnicas quando utilizada sem conhecimento avançado de segurança ofensiva.
A anatomia do ataque: Do ClickFix ao Interlock
A campanha envolvendo o Slopoly malware segue um modelo de ataque relativamente moderno, combinando engenharia social, scripts automatizados e ransomware.
O ponto inicial normalmente ocorre por meio de uma técnica conhecida como ClickFix, que explora mensagens falsas de erro ou notificações em sites comprometidos. A vítima é induzida a copiar e executar um comando no sistema, acreditando estar resolvendo um problema técnico.
Esses comandos geralmente executam scripts PowerShell, que baixam componentes adicionais do ataque diretamente para o computador da vítima.
Após a execução inicial, o malware instala mecanismos de persistência no sistema, garantindo que o acesso malicioso continue ativo mesmo após reinicializações. Essa etapa pode envolver alterações no registro do Windows, tarefas agendadas ou scripts automatizados.
Uma vez estabelecida a presença no sistema, os operadores do ataque podem mover-se lateralmente na rede corporativa e preparar o ambiente para a fase final: a implantação do ransomware Interlock, responsável por criptografar arquivos e exigir pagamento para recuperação dos dados.
Esse modelo de ataque modular permite que o malware seja usado apenas como porta de entrada, enquanto o ransomware executa a fase de monetização.
Quem é o grupo Hive0163 e suas vítimas
As investigações da IBM X-Force também associam a campanha ao grupo conhecido como Hive0163, um coletivo de cibercriminosos envolvido em operações de ransomware.
Esse grupo tem histórico de ataques contra organizações de grande porte, especialmente nos setores de saúde, educação e infraestrutura corporativa. Entre os alvos conhecidos estão instituições como a Universidade Texas Tech e a empresa de saúde DaVita, que já enfrentaram incidentes de segurança envolvendo ransomware.
O modus operandi do Hive0163 segue o modelo de extorsão dupla, no qual os invasores não apenas criptografam os arquivos da vítima, mas também roubam dados sensíveis. Caso o resgate não seja pago, as informações podem ser divulgadas publicamente ou vendidas em fóruns clandestinos.
A possível utilização de malware gerado por IA por grupos como o Hive0163 demonstra como organizações criminosas estão explorando novas tecnologias para reduzir custos operacionais e acelerar ataques.
Isso também sugere que ferramentas de IA podem se tornar parte permanente do arsenal do cibercrime moderno.
O futuro da cibersegurança na era da IA generativa
A descoberta do Slopoly malware levanta uma discussão importante sobre o futuro da segurança digital e IA.
Ferramentas de Inteligência Artificial generativa permitem que scripts complexos sejam produzidos em poucos minutos. Isso significa que criminosos com pouca experiência técnica podem gerar código malicioso funcional, reduzindo drasticamente a barreira de entrada no mundo do cibercrime.
Ao mesmo tempo, a IA também está sendo usada por defensores, permitindo análises automatizadas de malware, detecção de comportamento suspeito e resposta rápida a incidentes.
Esse cenário cria uma espécie de corrida tecnológica, na qual atacantes e defensores utilizam os mesmos recursos para tentar obter vantagem.
Especialistas apontam que o verdadeiro impacto da IA no cibercrime ainda está apenas começando a aparecer. À medida que modelos mais avançados se tornam acessíveis, é possível que surjam malwares altamente personalizados, capazes de adaptar técnicas de evasão de acordo com o ambiente da vítima.
Diante desse cenário, a recomendação continua sendo clara: manter sistemas atualizados, aplicar correções de segurança rapidamente e investir em treinamento contra engenharia social.
A conscientização dos usuários ainda é uma das principais linhas de defesa contra ataques que combinam malware gerado por IA com campanhas sofisticadas de ransomware.
Além disso, empresas e profissionais de TI precisam acompanhar de perto relatórios como o IBM X-Force relatório, que frequentemente revelam tendências emergentes do cibercrime global.
A era da IA generativa aplicada ao malware já começou. A diferença entre ser vítima ou estar protegido dependerá da capacidade de adaptação das estratégias de segurança digital.
