Já ouvimos falar de AIs generativas, como o ChatGPT, sendo usadas para criar códigos maliciosos antes, mas os hackers as estão utilizando para espalhar malware de uma maneira diferente: usando sua popularidade recém-descoberta como uma isca.
Os serviços falsos ChatGPT
O pai do Facebook, Meta, publicou sua mais recente pesquisa de ameaças e análise técnica em campanhas de malware persistente esta semana. O relatório adverte que descobriu dez famílias de malware, incluindo DuckTail e NodeStealer, se passando por ChatGPT e outras ferramentas de IA generativas, visando pessoas por meio de extensões de navegador maliciosas, anúncios e várias plataformas de mídia social. O objetivo deles é veicular anúncios não autorizados de contas comerciais comprometidas na Internet.
“Em um caso, vimos agentes de ameaças criarem extensões de navegador maliciosas disponíveis em lojas oficiais da Web que alegam oferecer ferramentas baseadas em ChatGPT”, disseram os engenheiros de segurança da Meta Duc H. Nguyen e Ryan Victory. “Eles promoveriam essas extensões maliciosas nas mídias sociais e por meio de resultados de pesquisa patrocinados para induzir as pessoas a baixar malware”.
A Meta disse que detectou e interrompeu essas operações de malware, incluindo famílias de malware não relatadas anteriormente, e já viu uma rápida adaptação adversária em resposta.
O TechCrunch escreve que o DuckTail se originou no Vietnã e tem como alvo usuários do Facebook desde 2021. O malware rouba cookies do navegador e sequestra sessões de login para roubar os dados da vítima, incluindo informações da conta, dados de localização e códigos de autenticação de dois fatores. Ele também pode sequestrar qualquer conta comercial do Facebook à qual a vítima tenha acesso.
O NodeStealer foi identificado pelo Facebook em janeiro. Ele tem como alvo os navegadores da Internet no Windows visando roubar cookies e nomes de usuário e senhas salvos para comprometer as contas do Facebook, Gmail e Outlook. Também é originário do Vietnã e é distribuído por agentes de ameaças do país.
A Meta diz que tomou rapidamente medidas para interromper o NodeStealer, incluindo o envio de solicitações de remoção a registradores terceirizados, provedores de hospedagem e serviços de aplicativos como o Namecheap, que foram direcionados pelo malware para facilitar a distribuição.
A gigante da mídia social disse que não observou nenhuma nova amostra de malware da família NodeStealer desde 27 de fevereiro deste ano, embora continue monitorando qualquer atividade futura.
Os cibercriminosos são rápidos em aproveitar as últimas tendências e serviços populares para espalhar malware. Exemplos anteriores incluem MSI Afterburner, Roblox e até Cyberpunk 2077. Mas esta é a primeira vez que vimos algo que também pode escrever um código malicioso usado como isca.
Leia também: Funcionários do Google chamam Bard AI de “mentiroso”, “inútil” e “digno de vergonha”