ChatGPT zum Schreiben von Malware missbraucht
Vermutet wurde bereits seit einiger Zeit, dass sich Cyberkriminelle die Möglichkeiten der KI zunutze machen, doch der nun vorliegende Bericht ist die erste Bestätigung derartiger Vorgänge. Ein erster Verdacht auf derartige Aktivitäten wurde von Proofpoint bereits im April geäußert. Damals wurde die Hackergruppe TA547 (auch bekannt als „Scully Spider“) verdächtigt, einen von einer KI geschriebenen PowerShell-Loader für die Infostealer-Malware Rhadamanthys einzusetzen.
Vor rund einem Monat berichteten Sicherheitsforscher von HP Wolf Security, dass Cyberkriminelle mit Fokus auf französische Nutzer KI-Tools einsetzten, um Skripte zu schreiben, die als Teil einer mehrstufigen Infektionskette verwendet werden. Der jüngste Bericht von OpenAI bestätigt jetzt den Missbrauch von ChatGPT und zeigt Fälle auf, in denen chinesische und iranische Bedrohungsakteure den Chatbot nutzen, um die Effektivität ihrer Angriffe zu erhöhen.
Ein Beispiel für einen Bedrohungsakteur, der in dem Report von OpenAI beschrieben wird, ist „SweetSpecter“, eine chinesische Gruppe, die erstmals im November 2023 von Cisco Talos-Analysten als Cyberspionage-Hacker dokumentiert wurde und es auf asiatische Regierungen abgesehen hat. Diesmal haben die Cyberkriminellen OpenAI direkt angegriffen, indem sie Spear-Phishing-E-Mails mit infizierten ZIP-Anhängen an die persönlichen E-Mail-Adressen von OpenAI-Mitarbeitern schickten. Getarnt waren diese als Support-Anfragen. Wenn die Anhänge geöffnet werden, lösen sie eine Infektionskette aus, die dazu führt, dass SugarGh0st RAT auf dem System des Opfers installiert wird.
Weitere Untersuchungen ergaben, dass SweetSpecter eine Reihe von ChatGPT-Konten verwendet, die mithilfe eines LLM-Tools Skripting und Schwachstellenanalysen durchgeführt haben.
Auch die iranische Hackergruppe Storm-0817 wird in dem Bericht als Beispiel aufgeführt. Berichten zufolge nutzte diese Gruppe ChatGPT, um Malware zu debuggen, einen Instagram-Scraper zu programmieren, LinkedIn-Profile ins Persische zu übersetzen und eine benutzerdefinierte Malware für die Android-Plattform zusammen mit einer zugrunde liegenden Befehls- und Kontrollinfrastruktur zu entwickeln. Die mithilfe des Chatbots von OpenAI erstellte Malware kann Kontaktlisten, Anrufprotokolle und auf dem Gerät gespeicherte Dateien stehlen, Screenshots erstellen, den Browserverlauf des Benutzers untersuchen und seine genaue Position ermitteln.
Alle OpenAI-Konten, die im Verdacht stehen, von den im Bericht genannten Hackergruppen verwendet zu werden, wurden gesperrt und die Hinweise für die Kompromittierung, einschließlich der IP-Adressen, wurden mit Cybersecurity-Partnern geteilt. Obwohl die Bedrohungsakteure in keinem der beschriebenen Fälle durch den Einsatz von KI neue Fähigkeiten bei der Entwicklung von Malware erhielten, sind sie ein Beweis dafür, dass generative KI-Tools offensive Operationen für wenig qualifizierte Akteure effizienter machen können, indem sie sie in allen Phasen von der Planung bis zur Ausführung unterstützen.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de