Programele automate de generare a textului, pornite ca experimente academice și ajunse să compună articole sau poezii, s-au transformat în modele capabile să scrie cod care poate fi folosit pentru atacuri cibernetice. Cercetătorii Unit42, divizia de analiză a Palo Alto Networks, au raportat că două astfel de modele nefiltrate, WormGPT 4 și KawaiiGPT, sunt folosite de actori malițioși online pentru a crea scripturi malițioase, mesaje de phishing și instrumente de mișcare laterală, iar comunități active pe Telegram facilitează schimbul de sfaturi între abonați.
WormGPT a apărut inițial în 2023, proiectul a fost oprit la scurt timp, dar brandul a reapărut în septembrie sub denumirea WormGPT 4. Modelul este comercializat la 50 de dolari pe lună sau 220 de dolari pentru acces pe viață și funcționează ca o versiune nefiltrată de tip ChatGPT, special antrenată pentru operațiuni cibernetice. Unit42 arată că, folosind WormGPT 4, cercetătorii au generat un script PowerShell care scanează anumite directoare și extensii de fișiere pe un sistem Windows și criptează datele cu AES-256; scriptul includea și o opțiune de exfiltrare prin rețeaua Tor, ceea ce indică cerințe operaționale credibile. Tot cu ajutorul modelului a fost creată o notă de plată care stipula un termen de 72 de ore înainte de dublarea sumei cerute și folosea formulări care sugerează o criptare de nivel militar.
KawaiiGPT este o alternativă comunitară, gratuită, semnalată în iulie. Versiunea 2.5 testată de Unit42 poate fi instalată pe un sistem Linux în doar câteva minute și generează mesaje de phishing bine articulate, capabile să imite domenii reale și să includă linkuri pentru colectarea credențialelor. Cercetătorii au folosit prompturi pentru a obține din KawaiiGPT un script Python care folosește biblioteca paramiko pentru a se conecta prin SSH și a executa comenzi la distanță, un alt script Python care parcurge recursiv un sistem Windows cu os.walk pentru a găsi fișiere țintă și utilizează smtplib pentru a arhiva și trimite datele către o adresă controlată de atacator, precum și șabloane pentru note de recompensă cu instrucțiuni de plată, intervale de timp și afirmații despre puterea criptării. Deși KawaiiGPT nu a creat un mecanism complet de criptare echivalent cu cel obținut de WormGPT 4, capacitatea sa de a produce cod executabil și de a comanda sisteme poate facilita escaladarea privilegiilor, furtul de date sau implantarea altor payloaduri.
Analiza Unit42 subliniază că aceste modele oferă o manipulare lingvistică convingătoare pentru atacuri de tip business email compromise și phishing, astfel încât atacatori cu experiență redusă pot realiza operațiuni mai complexe care anterior necesitau echipe specializate. Canalele Telegram dedicate atrag sute de membri, iar schimbul de scripturi, prompturi și tehnici transformă amenințarea dintr‑una teoretică într‑una reală. Practic, timpul necesar pentru cercetare și dezvoltare se reduce, iar mesajele de phishing rezultate sună natural și nu mai conțin greșelile gramaticale obișnuite.
WormGPT 4 a reapărut în septembrie și este oferit la 50 de dolari pe lună sau 220 de dolari pentru acces pe viață. Acest caz ilustrează cât de rapid pot evolua instrumentele de generare a limbajului în unelte accesibile, democratizând capabilități tehnice avansate și punând presiune pe echipele de securitate să îmbunătățească detecția și răspunsul, să monitorizeze canale precum Telegram și să își actualizeze procedurile. Măsuri practice recomandate includ consolidarea politicilor de acces, detectarea activităților anormale pe rețea și educația continuă privind tehnicile moderne de phishing.
Ce ar trebui, în opinia ta, să facă organizațiile publice și private pentru a limita riscurile aduse de modele precum WormGPT 4 și KawaiiGPT?
Fii primul care comentează