A Inteligência Artificial Generativa (GenAI) está causando um impacto significativo em todo o mundo. Sua popularidade e uso generalizado atraíram a atenção de cibercriminosos, resultando em ameaças cibernéticas relacionadas a essa tecnologia. No entanto, grande parte da discussão sobre as ameaças associadas a ferramentas como o ChatGPT tem se concentrado em como essa tecnologia pode ser mal utilizada para ajudar golpistas a criar mensagens de phishing convincentes, produzir códigos maliciosos ou explorar vulnerabilidades.

Menos discutido, porém igualmente preocupante, é o uso da GenAI como isca para ocultar malware. Não é difícil encontrar exemplos. No ano passado, por exemplo, escrevemos sobre uma campanha que pedia aos usuários do Facebook que experimentassem a versão mais recente da ferramenta legítima de IA do Google, a "Bard"; em vez disso, os anúncios ofereciam uma ferramenta impostora maliciosa.

Esses tipos de campanhas são exemplos de uma tendência preocupante, e está claro que elas não estão desaparecendo. Portanto, é fundamental que você entenda como elas funcionam, aprenda a identificar os sinais de alerta e tome precauções para que sua identidade e suas finanças não sejam colocadas em risco.

De que forma os criminosos usam a GenAI como isca?

Os cibercriminosos têm várias maneiras de induzir o usuário a instalar malware disfarçado de aplicativos GenAI. Por exemplo:

Sites de phishing

No segundo semestre de 2023, a ESET bloqueou mais de 650 mil tentativas de acessar domínios maliciosos contendo "chapgpt" ou texto semelhante. É mais provável que as vítimas cheguem a esses sites depois de clicar em um link nas redes sociais ou por meio de um e-mail/mensagem de celular. Algumas dessas páginas de phishing podem conter links para instalar malware disfarçado de software GenAI.

Extensões de navegador da Web

O Relatório de Ameaças H1 2024 da ESET detalha uma extensão de navegador maliciosa distribuída por meio de anúncios no Facebook que prometem levar a vítima ao site oficial do Sora da OpenAI ou do Gemini do Google. Embora a extensão se disfarce como o Google Translate, na verdade, é um infostealer conhecido como "Rilide Stealer V4", projetado para obter as credenciais do Facebook dos usuários.

Rilide Stealer masquerading as a Chrome browser extension
Stealer se fazendo passar por uma extensão do navegador Chrome (Fonte: ESET Threat Report H1 2024).

 

Desde agosto de 2023, a telemetria da ESET registrou mais de 4 mil tentativas de instalar essa extensão maliciosa. Outras extensões maliciosas afirmam oferecer a funcionalidade GenAI e, na realidade, podem fazê-lo de forma limitada, além de fornecer malware, de acordo com o Meta.

Aplicativos falsos

Também houve vários relatórios de aplicativos GenAI falsos publicados especialmente em lojas de aplicativos móveis, muitos dos quais contêm malware. Alguns desses aplicativos estão carregados com malware projetado para roubar informações confidenciais do dispositivo do usuário, incluindo credenciais de login, dados de identificação pessoal, informações financeiras e muito mais.

This fake ChatGPT web app sends OpenAI API keys to its own serve
Esse falso aplicativo da Web ChatGPT envia chaves de API OpenAI para seu próprio servidor (Fonte: ESET Threat Report H2 2024).

 

Outros são golpes projetados para gerar receita para o desenvolvedor, prometendo recursos avançados de IA, geralmente mediante o pagamento de uma taxa. Depois de baixados, eles podem bombardear os usuários com anúncios, solicitar compras no aplicativo ou exigir assinaturas de serviços inexistentes ou de qualidade muito baixa.

Anúncios falsos

Os cibercriminosos estão aproveitando a popularidade das ferramentas GenAI para induzir os usuários a clicar em anúncios falsos. Esses anúncios no Facebook são particularmente predominantes. A Meta alertou no ano passado que muitas dessas campanhas são projetadas para comprometer "empresas com acesso a contas de anúncios na Internet".

Splash screen shown by Vidar infostealer installer and impersonating Midjourney
Tela inicial exibida pelo instalador do Vidar infostealer e que se faz passar pelo Midjourney (Fonte: ESET Threat Report H1 2024).

Os criminosos sequestram uma conta ou página legítima, alteram as informações do perfil para que se pareçam com uma página autêntica do ChatGPT ou de outra marca de GenAI e, em seguida, usam essas contas para publicar anúncios falsos. De acordo com os pesquisadores, esses anúncios oferecem links para a versão mais recente das ferramentas de GenAI, mas, na verdade, implantam malware projetado para roubar informações.

A arte da isca

Os seres humanos são criaturas sociais e tendem a acreditar nas histórias que nos contam. Também somos propensos à ganância, buscando sempre os últimos gadgets e aplicativos. Cibercriminosos exploram nossa ganância, o medo de ficar de fora, nossa credulidade e nossa curiosidade para nos levar a clicar em links maliciosos ou a baixar aplicativos com malware oculto.

Para que cliquemos no botão de instalação, o que nos é oferecido precisa ser extremamente atraente e, como todas as melhores mentiras, deve ter um núcleo de verdade. As engenharias sociais são especialistas nessas artes obscuras: essa técnica nos convencem a clicar em notícias picantes sobre celebridades ou tópicos atuais (lembra das histórias sobre vacinas falsas contra a COVID-19?). Às vezes, oferecem algo de graça, com um desconto incrível ou antes que qualquer outra pessoa o receba. Como explicamos em um post publicado anteriormente, caímos nesses truques porque:

Estamos com pressa, especialmente se estivermos assistindo ao conteúdo em nosso smartphone ou tablet.

Eles são bons contadores de histórias e estão se tornando cada vez mais fluentes, usando (ironicamente) a GenAI para contar suas histórias perfeitamente em vários idiomas.

Adoramos receber algo de graça, mesmo que seja bom demais para ser verdade.

Os vilões são bons em compartilhar conhecimento sobre o que funciona e o que não funciona, enquanto nós somos piores em buscar ou aceitar conselhos.

Estamos predispostos a respeitar a autoridade ou, pelo menos, a legitimidade de uma oferta, desde que ela tenha uma marca "oficial".

No que diz respeito à GenAI, os criadores de malware estão se tornando cada vez mais sofisticados. Eles utilizam diversos canais para espalhar suas mentiras e disfarçam o malware como uma variedade de ferramentas, incluindo o ChatGPT, o criador de vídeos Sora AI, o gerador de imagens Midjourney, o DALL-E e o editor de fotos Evoto. Muitas das versões que promovem ainda não estão disponíveis publicamente, como "ChatGPT 5" ou "DALL-E 3", o que torna a oferta ainda mais atrativa para as vítimas.

Eles garantem que o malware continue passando despercebido, adaptando regularmente seus payloads para evitar a detecção por ferramentas de segurança. E eles gastam muito tempo e esforço para garantir que suas iscas (como anúncios do Facebook) tenham a aparência correta. Se não parecer oficial, quem fará o download?

O que pode estar em risco?

Qual é o pior cenário? Se você clicar para fazer o download de um aplicativo GenAI falso ou acessar um site comprometido e um infostealer for instalado, os cibercriminosos poderão roubar suas informações usando esse malware, que, como o nome sugere, foi projetado para coletar dados confidenciais. As informações roubadas podem incluir credenciais de contas, logins de trabalho, cartões de crédito armazenados, cookies de sessão (para contornar a autenticação multifator), ativos armazenados em carteiras criptográficas e dados de aplicativos de mensagens instantâneas, entre outros.

Não se trata apenas de malware para roubo de informações. Em teoria, os cibercriminosos podem ocultar qualquer tipo de malware em aplicativos e links maliciosos, inclusive ransomware e trojans de acesso remoto (RATs). Para a vítima, isso pode levar a:

Um hacker obtém controle remoto completo do PC/telefone celular e de tudo o que está armazenado nele. Ele pode usar o acesso para roubar informações pessoais e financeiras mais confidenciais ou transformar seu computador em um computador "zumbi" para lançar ataques contra outras pessoas.

Eles podem usar suas informações pessoais para cometer fraudes de identidade, o que pode ser muito angustiante, se não caro, para a vítima.

Eles podem usar dados financeiros e de identidade para obter novas linhas de crédito em seu nome ou para roubar ativos criptográficos e acessar e drenar contas bancárias.

Eles podem até mesmo usar suas credenciais de trabalho para lançar um ataque contra seu empregador ou uma organização parceira/fornecedora. Uma recente campanha de extorsão digital que usou malware infostealer para acessar contas da Snowflake comprometeu dezenas de milhões de dados de clientes.

Como evitar as iscas maliciosas da GenAI

Algumas práticas recomendadas testadas e comprovadas manterão você longe das ameaças da GenAI. Tenha em mente o seguinte:

#Instale apenas aplicativos de lojas de aplicativos oficiais

O Google Play e a Apple App Store possuem processos rigorosos de triagem e monitoramento regular para remover aplicativos falsos. No entanto, evite fazer o download de aplicativos a partir de sites de terceiros ou fontes não oficiais, pois é muito mais provável que esses locais hospedem produtos maliciosos.

#Verifique os desenvolvedores de aplicativos e as análises de seus softwares

Antes de fazer download de um aplicativo, verifique as credenciais do desenvolvedor, procure outros aplicativos que ele tenha desenvolvido e leia as avaliações dos usuários. Os aplicativos suspeitos geralmente têm descrições mal escritas, histórico de desenvolvimento limitado e avaliações negativas que destacam problemas.

#Desconfie de anúncios digitais

Os anúncios digitais, especialmente em plataformas de rede social como o Facebook, podem ser um vetor comum para a distribuição de aplicativos falsos. Em vez de clicar em anúncios, procure o aplicativo ou a ferramenta diretamente na loja oficial de aplicativos.

#Verifique as extensões de navegador da Web antes de instalá-las

As extensões de navegador da Web podem representar riscos à segurança, mas antes de instalar qualquer uma delas, verifique o histórico do desenvolvedor e leia as avaliações. Use somente extensões com classificações altas e de desenvolvedores conhecidos.

#Use um software de segurança abrangente de um provedor de boa reputação

Certifique-se de que você tenha instalado um software de segurança de um fornecedor confiável. Isso oferece proteção em tempo real contra malware, tentativas de phishing e outras ameaças on-line.

#Fique atento ao phishing

Cuidado com as mensagens não solicitadas que convidam você a clicar em links ou abrir anexos. Verifique a identidade do remetente antes de interagir com qualquer e-mail, texto ou mensagem de rede social.

#Ative a autenticação multifator (MFA) em todas as suas contas on-line

A autenticação multifator adiciona uma camada extra de segurança às suas contas on-line, exigindo vários métodos de verificação. Ative a MFA sempre que possível para proteger suas contas, mesmo que sua senha seja comprometida.

#Esteja atento!

Como discutido anteriormente, os cibercriminosos frequentemente aproveitam a empolgação em torno de novos lançamentos. Se você encontrar uma oferta para baixar uma nova versão de uma ferramenta GenAI, verifique sua disponibilidade através dos canais oficiais antes de prosseguir. Veja o site oficial ou fontes de notícias confiáveis para confirmar o lançamento.

A GenAI está transformando o mundo ao nosso redor a um ritmo acelerado. Garanta que essa transformação não seja para pior no seu caso.