Un investigador de seguridad afirma haber utilizado ChatGPT para desarrollar malware de extracción de datos. El malware se ha creado utilizando técnicas avanzadas como la esteganografía, anteriormente utilizada solo por atacantes de estados-nación, para demostrar lo fácil que es crear malware avanzado sin escribir ningún código utilizando únicamente ChatGPT.
Aaron Mulgrewun investigador de seguridad de Forcepoint, tenía como objetivo mostrar lo fácil que es evadir las barreras de seguridad insuficientes que ChatGPT tiene implementadas.
“Vivir de la tierra”
El investigador comenzó probando lo que se podría generar a partir de ChatGPT. El primer mensaje fue generar algo cuantificable como malware, pero el modelo se negó a ofrecer ningún código para ayudar en la tarea.
Para solucionar este problema, el investigador generó pequeños fragmentos de código auxiliar y armó manualmente todo el ejecutable.
El malware estaba destinado a personas específicas de alto valor, donde podría resultar rentable buscar documentos de alto valor en la unidad C en lugar de correr el riesgo de llevar un archivo externo al dispositivo y ser marcado por llamar a URL.
El investigador concluyó que la esteganografía era el mejor método para la exfiltración, y “vivir de la tierra” sería el mejor método buscando archivos de imágenes grandes que ya existieran en el propio disco.
“Vivir de la tierra” se refiere al uso de herramientas y utilidades ya presentes en un sistema en lugar de descargar y ejecutar código nuevo que pueda ser detectado por soluciones de seguridad.
En este caso, el investigador de seguridad utilizó esta técnica para evitar la detección mientras buscaba y extraía documentos de alto valor.
Creando el MVP
Luego, el investigador le pidió a ChatGPT que generara un código que buscara un PNG de más de 5 MB en el disco local.
La decisión de diseño fue que un PNG de 5 MB sería lo suficientemente grande como para almacenar un fragmento de un documento comercial de alto valor, como un PDF o DOCX.
Luego, el investigador le pidió a ChatGPT que agregara algo de código para codificar el PNG encontrado con esteganografía utilizando la biblioteca esteganográfica ya preparada de Auyer.
Para la exfiltración, el investigador decidió solicitar a ChatGPT que proporcionara un código que itera sobre las carpetas Documentos del usuario, Escritorio y AppData para encontrar cualquier documento PDF o documento DOCX para exfiltrar.
El investigador se aseguró de agregar un tamaño máximo de 1 MB para incrustar todo el documento en una sola imagen para la primera iteración del código.
Mulgrew decidió que Google Drive sería una buena apuesta para la exfiltración, ya que todo el dominio de Google tiende a estar “en la lista de permitidos” en la mayoría de las redes corporativas.
Después de combinar los fragmentos, el investigador obtuvo un MVP que necesitaba más pruebas. El investigador probó el MVP cargándolo en VirusTotal para comparar el código listo para usar con ataques modernos como Emotet.
El resultado mostró que cinco proveedores marcaron el archivo como “malicioso” entre sesenta y nueve.
Para optimizar el malware y evadir la detección, el investigador refactorizó el código que llama a la Biblioteca esteganográfica de Auyer para obligar a ChatGPT a crear una identificación única en el EXE compilado.
Luego, ChatGPT creó su propia función de esteganografía LSB dentro de la aplicación local del investigador en lugar de tener que llamar.
En general, el investigador de seguridad ha demostrado lo fácil que es crear malware potente utilizando ChatGPT, que puede evadir la detección de algunos sistemas de detección de malware.
La investigación destaca la necesidad de que los expertos y las organizaciones en ciberseguridad se mantengan al día con las amenazas emergentes y la importancia de contar con mecanismos sólidos de detección y prevención para protegerse contra dicho malware.
ⓒ 2023 . .
