Ruští hackeři použili ChatGPT k vytvoření malwaru skrytého v herním nástroji

Kybernetická bezpečnost čelí novému typu hrozby - ruští hackeři začali využívat umělou inteligenci ChatGPT jako svého programátorského asistenta při vývoji škodlivého softwaru. Operace nazvaná "ScopeCreep" představuje znepokojivý příklad toho, jak mohou státem podporovaní útočníci zneužívat generativní AI technologie k urychlení a zdokonalení svých kybernetických kampaní.

Co vlastně ScopeCreep provedli?

Skupina ScopeCreep zvolila rafinovanou strategii distribuce svého malwaru prostřednictvím trojanizované verze populárního herního nástroje Crosshair X, který slouží jako overlay pro hráče. Tento přístup je obzvláště zákeřný, protože cílí na herní komunitu, která často stahuje různé nástroje a modifikace pro zlepšení svého herního zážitku. Uživatelé, kteří si stáhli falešnou verzi tohoto nástroje, nechtěně nainstalovali sofistikovaný malware do svých Windows systémů.

Technická sofistikovanost tohoto malwaru je pozoruhodná. Po spuštění nejprve nasadí loader, který stahuje další payloady ze vzdáleného serveru, poté eskaluje privilegia v systému a vytvoří zakotvení, aby přežil restart počítače. Malware používá pokročilé techniky utajení včetně DLL sideloading a Base64 obfuskace. Zvláště nebezpečná je jeho schopnost deaktivovat Windows Defender pomocí PowerShell příkazů a následně krást přihlašovací údaje, tokeny a cookies z webových prohlížečů obětí.

Hekři použili ChatGPT

Co dělá tuto operaci výjimečnou, je způsob, jakým hackeři využívali ChatGPT. Používali ho k iterativnímu vývoji a ladění svého kódu, konkrétně pro debugging Go kódu pro HTTPS požadavky a integraci Telegram API. Prostřednictvím Telegram kanálu si hackeři zasílali oznámení o nových obětech. Z bezpečnostních důvodů používali vícero dočasných ChatGPT účtů, přičemž každý účet využili pouze pro jeden dotaz, aby minimalizovali riziko odhalení své operace.

OpenAI ve spolupráci s bezpečnostními partnery naštěstí rychle identifikovalo a zablokovalo škodlivé účty ještě předtím, než se malware mohl šířit mezi širší veřejnost. Společnost také pracovala na odstranění souvisejících kódových repozitářů. Podle oficiálního prohlášení OpenAI byla kampaň ScopeCreep přerušena v raných fázích, což významně omezilo její potenciální škody. Tento incident však slouží jako varovný signál pro celou oblast kybernetické bezpečnosti a ukazuje na nutnost sledovat, jak se vyvíjí zneužívání AI technologií ze strany kybernetických útočníků.