I ricercatori di Proofpoint hanno scoperto una campagna di phishing contro organizzazioni tedesche, il cui scopo è installare il malware Rhadamanthys sui computer per rubare dai sensibili. La differenza rispetto a simili attacchi è l’uso dei chatbot più popolari per la scrittura di uno script PowerShell.
IA usata per scrivere codice
In base alle rilevazioni di Proofpoint, la campagna di phishing è stata avviata dal gruppo TA547, noto anche come Scully Spider. La catena di infezione inizia con l’invio di un’email che sembra provenire da Metro, azienda tedesca della grande distribuzione. In allegato c’è un file ZIP che contiene una presunta fattura.
Nell’archivio è invece presente un file LNK che scarica ed esegue uno script PowerShell. Quest’ultimo decodifica l’eseguibile di Rhadamanthys e lo carica in memoria, quindi senza lasciare tracce su disco. Analizzando il codice dello script, i ricercatori hanno notato alcuni indizi che suggeriscono l’uso di un modello di intelligenza artificiale generativa.
Per quasi tutti i componenti dello script è presente un commento scritto in modo chiaro e grammaticamente corretto. Solitamente i commenti aggiunti dagli sviluppatori umani sono criptici e con errori grammaticali. Si tratta quindi di un output generato da noti chatbot, come ChatGPT (OpenAI), Copilot (Microsoft) e Gemini (Google).
Bleeping Computer ha effettuato un test con ChatGPT, ottenendo uno script PowerShell molto simile. Ciò conferma l’uso di un modello IA. Molti cybercriminali sfruttano la tecnologia per velocizzare la scrittura di codice o il testo delle email di phishing. Esistono anche chatbot specializzati, come WormGPT, FraudGPT e DarkBART.