Wer bislang Malware für kriminelle Machenschaften benötigt hat, musste entweder selbst das notwendige Wissen und Können mitbringen, jemanden mit der Entwicklung beauftragen oder auf einen der vielen Anbieter von Malware-as-a-service im Darkweb zurückgreifen. Dank künstlicher Intelligenzen wie ChatGPT ist das nun nicht mehr nötig. OpenAI, das Unternehmen hinter ChatGPT, hat nun bestätigt, dass der KI-gestützte Chatbot in mehr als 20 Fällen zum Debuggen und Entwickeln von Malware, zur Verbreitung von Fehlinformationen, zur Umgehung von Erkennungsmaßnahmen und zur Durchführung von Spear-Phishing-Angriffen missbraucht wurde.
Vermutet wurde bereits seit einiger Zeit, dass sich Cyberkriminelle die Möglichkeiten der KI zunutze machen, doch der nun vorliegende Bericht ist die erste Bestätigung derartiger Vorgänge. Ein erster Verdacht auf derartige Aktivitäten wurde von Proofpoint bereits im April geäußert. Damals wurde die Hackergruppe TA547 (auch bekannt als „Scully Spider“) verdächtigt, einen von einer KI geschriebenen PowerShell-Loader für die Infostealer-Malware Rhadamanthys einzusetzen.
Vor rund einem Monat berichteten Sicherheitsforscher von HP Wolf Security, dass Cyberkriminelle mit Fokus auf französische Nutzer KI-Tools einsetzten, um Skripte zu schreiben, die als Teil einer mehrstufigen Infektionskette verwendet werden. Der jüngste Bericht von OpenAI bestätigt jetzt den Missbrauch von ChatGPT und zeigt Fälle auf, in denen chinesische und iranische Bedrohungsakteure den Chatbot nutzen, um die Effektivität ihrer Angriffe zu erhöhen.
Ein Beispiel für einen Bedrohungsakteur, der in dem Report von OpenAI beschrieben wird, ist „SweetSpecter“, eine chinesische Gruppe, die erstmals im November 2023 von Cisco Talos-Analysten als Cyberspionage-Hacker dokumentiert wurde und es auf asiatische Regierungen abgesehen hat. Diesmal haben die Cyberkriminellen OpenAI direkt angegriffen, indem sie Spear-Phishing-E-Mails mit infizierten ZIP-Anhängen an die persönlichen E-Mail-Adressen von OpenAI-Mitarbeitern schickten. Getarnt waren diese als Support-Anfragen. Wenn die Anhänge geöffnet werden, lösen sie eine Infektionskette aus, die dazu führt, dass SugarGh0st RAT auf dem System des Opfers installiert wird.
Weitere Untersuchungen ergaben, dass SweetSpecter eine Reihe von ChatGPT-Konten verwendet, die mithilfe eines LLM-Tools Skripting und Schwachstellenanalysen durchgeführt haben.
Auch die iranische Hackergruppe Storm-0817 wird in dem Bericht als Beispiel aufgeführt. Berichten zufolge nutzte diese Gruppe ChatGPT, um Malware zu debuggen, einen Instagram-Scraper zu programmieren, LinkedIn-Profile ins Persische zu übersetzen und eine benutzerdefinierte Malware für die Android-Plattform zusammen mit einer zugrunde liegenden Befehls- und Kontrollinfrastruktur zu entwickeln. Die mithilfe des Chatbots von OpenAI erstellte Malware kann Kontaktlisten, Anrufprotokolle und auf dem Gerät gespeicherte Dateien stehlen, Screenshots erstellen, den Browserverlauf des Benutzers untersuchen und seine genaue Position ermitteln.
Alle OpenAI-Konten, die im Verdacht stehen, von den im Bericht genannten Hackergruppen verwendet zu werden, wurden gesperrt und die Hinweise für die Kompromittierung, einschließlich der IP-Adressen, wurden mit Cybersecurity-Partnern geteilt. Obwohl die Bedrohungsakteure in keinem der beschriebenen Fälle durch den Einsatz von KI neue Fähigkeiten bei der Entwicklung von Malware erhielten, sind sie ein Beweis dafür, dass generative KI-Tools offensive Operationen für wenig qualifizierte Akteure effizienter machen können, indem sie sie in allen Phasen von der Planung bis zur Ausführung unterstützen.
Bild (c) Franz Bachinger / Pixabay