A inteligência artificial é uma tecnologia que permite aos cibercriminosos personalizar e ajustar melhor as campanhas maliciosas.
Por Redação, com Europa Press – de São Francisco
O Google Threat Intelligence Group (GTIG) alertou sobre o que considera ser o primeiro uso da inteligência artificial (IA) para desenvolver uma vulnerabilidade de dia zero, além de destacar o emprego dessa tecnologia para explorar vulnerabilidades em grande escala, melhorar as capacidades de ofuscação e contornar as salvaguardas dos modelos de linguagem de grande escala (LLM).
A inteligência artificial é uma tecnologia que permite aos cibercriminosos personalizar e ajustar melhor as campanhas maliciosas, tornando-as mais eficazes, mas também permite identificar vulnerabilidades e desenvolver “exploits” com maior rapidez, além de criar “malware” e ferramentas que ajudam a ofuscar suas atividades.
Nesse sentido, o relatório AI Threat Tracker compila o uso que está sendo feito da inteligência artificial para impulsionar ataques cibernéticos, que atualmente caminha para a maturidade, com a aplicação em escala industrial de modelos generativos.
Um exemplo disso é a identificação do primeiro caso de uma vulnerabilidade de dia zero desenvolvida com a ajuda de uma IA. O GTIG destacou que se trata da “primeira evidência” do uso “bem-sucedido” da IA em um caso como esse, embora não descarte a existência de outras operações ainda não identificadas.
Especificamente, eles identificaram “uma vulnerabilidade de dia zero implementada em um script Python que permite ao usuário contornar a autenticação de dois fatores (2FA) em uma popular ferramenta de gerenciamento de sistemas baseada na web e de código aberto”.
Embora essa vulnerabilidade apresente “muitos indícios de uso de IA”, os pesquisadores do GTIG descartam o uso do Gemini e do Mythos em seu desenvolvimento. Eles informam, além disso, que compartilharam suas descobertas com a empresa responsável pelo serviço afetado, que conseguiu distribuir um patch e corrigi-la.
Cibercriminosos
Por outro lado, o relatório destaca o uso da inteligência artificial para impulsionar ataques e explorar vulnerabilidades em grande escala, como identificado no caso do grupo de cibercriminosos norte-coreano APT45.
A inteligência artificial de agentes também se tornou uma ferramenta para os cibercriminosos. O relatório do GTIG menciona a experimentação com agentes como o OpenClaw e o OneClaw em ambientes de teste, com o objetivo de aperfeiçoar suas capacidades por meio da orquestração de ataques.
Especificamente, cita-se seu uso para refinar as cargas úteis geradas com IA em configurações controladas, a fim de aumentar a confiabilidade do ‘exploit’ antes da implementação
Para mitigar esse uso, o responsável pelo OpenClaw fez uma parceria com a espanhola Virus Total para detectar programas maliciosos em seu ‘marketplace’ por meio do escâner das ‘skills’ publicadas nele.
Da mesma forma, os cibercriminosos usam a IA para criar infraestruturas e ‘malware’ mais avançados, com melhores capacidades de ofuscação e evasão. Nesse caso, destaca-se o grupo de ameaças cibernéticas APT27 — ligado à China — que recorreu ao Gemini para acelerar o desenvolvimento de um aplicativo de gerenciamento de frotas para apoiar a gestão de uma rede de caixas de retransmissão operacionais (ORB) utilizando configurações de múltiplos saltos.
Por sua vez, os grupos de ameaças UNC6201 e UNC5673 direcionaram suas atividades para a violação de LLMs com o objetivo de contornar as salvaguardas que impedem seu uso malicioso e os métodos de pagamento para acessar as capacidades mais avançadas e aproveitá-las em suas campanhas.
O relatório destaca outros usos da IA, por exemplo, para criar “deepfakes” e empregá-los em campanhas de desinformação, para aperfeiçoar o software malicioso e para sondar de forma persistente e autônoma as vulnerabilidades das empresas.
– Os cibercriminosos estão utilizando a IA para aumentar a velocidade, a escala e a sofisticação de seus ataques”, já que essa tecnologia “lhes permite testar suas operações, manter a persistência contra seus alvos, criar malware mais eficaz e alcançar muitas outras melhorias – como explicou o analista-chefe da GTIG, John Hultquist.
