WormGPT, uma ferramenta baseada em black-hat, foi lançada recentemente por cibercriminosos e tem potencial para conduzir vários ataques de engenharia social, bem como ataques de Business Email Compromise (BEC). Esta ferramenta não tem limitações de uso e não tem limites.
O uso de IA generativa teve um alcance notável nos últimos tempos. Com o lançamento do ChatGPT em novembro de 2022, várias ferramentas de IA foram criadas e refinadas para diversos fins. No entanto, chega um momento em que uma nova IA foi lançada especificamente projetada para Black Hats.
Comprometimento de e-mail comercial, comumente chamado de Fraude do CEO ou caça às baleiasataca empresas fazendo-se passar por executivos seniores ou parceiros confiáveis.
Ataques BEC revolucionados pelo WormGPT
Conforme relatóriosos agentes de ameaças têm usado o ChatGPT e outras ferramentas baseadas em IA para gerar e-mails maliciosos que parecem legítimos o suficiente para convencer um funcionário a fornecer informações confidenciais.
Em um fórum de discussões sobre crimes cibernéticos, houve evidências de que os agentes de ameaças confiam no ChatGPT para compor E-mails BEC. Mesmo hackers com pouca fluência em outros idiomas podem usar esses e-mails gerados por IA para conduzir tais ataques.
Outra discussão mencionou “Jailbreaks” para ferramentas como ChatGPT. Esses são prompts especialmente elaborados que podem fazer com que o ChatGPT forneça informações confidenciais além do escopo de seu uso. Pode até fornecer conteúdo impróprio ou gerar código prejudicial.
Verme GPT
Verme GPT também foi encontrado em um fórum de discussão sobre cibercriminosos, que foi mencionado como sendo especialmente projetado como uma alternativa blackhat a outros GPTs. Ele foi projetado com modelos de linguagem GPTJ (Generative Pre-trained Transformer-J) com uma variedade de recursos e capacidades de formatação de código.
Em um experimento realizado com WormGPT onde foi solicitado a geração de um e-mail BEC para pressionar um gerente de conta pelo pagamento de uma fatura fraudulenta. Os resultados foram extremamente prejudiciais, pois geraram um e-mail convincente, livre de erros gramaticais e persuasivo, que convenceria qualquer funcionário.
É recomendado que as organizações treinem seus funcionários sobre esses tipos de e-mails de phishing e tenham filtros de e-mail apropriados para prevenir tais ataques baseados em e-mail gerados por IA.
