La technologie de traitement automatique de la langue (NLP) avance à pas de géant, offrant de nouvelles opportunités pour les utilisateurs et les entreprises. Revers de la médaille ? Les cybercriminels s’y mettent aussi ! Selon une récente enquête de Check Point Research, un réseau de cybercriminels a commencé à utiliser GPT-3 ou Chat-GPT, l’un des modèles de traitement automatique de la langue les plus avancés développés par OpenAI, pour commettre des cyberattaques.
Création de logiciels malveillants par GPT-3
Dans un fil de discussion sur un forum de hacking populaire, un acteur malveillant a partagé son expérience d’utilisation de GPT-3 pour recréer des techniques de malware décrites dans les publications de recherche et les articles sur les malwares courants. Il a partagé en exemple le code d’un logiciel malveillant basé sur Python qui recherche des types de fichiers courants, les copie dans un dossier aléatoire dans le dossier Temp, les compresse en ZIP et les téléverse sur un serveur FTP codé en dur.
L’analyse de ce script par Check Point Research confirme les allégations des cybercriminels. Il s’agit en effet d’un logiciel malveillant basique qui recherche 12 types de fichiers courants (tels que les documents MS Office, les PDF et les images) sur le système. Si des fichiers intéressants sont trouvés, le malware copie les fichiers dans un répertoire temporaire, les compresse en ZIP et les envoie sur Internet. Il est à noter que l’acteur n’a pas pris la peine de chiffrer ou d’envoyer les fichiers de manière sécurisée. Selon Supinfo avis, il est donc possible que les fichiers tombent entre les mains de tierces parties également.
En outre, l’acteur malveillant a également créé un script en Java simple utilisant GPT-3. Ce script télécharge PuTTY, un client SSH et telnet couramment utilisé, et l’exécute de manière cachée sur le système en utilisant Powershell. Ce script peut bien entendu être modifié pour télécharger et exécuter n’importe quel programme, y compris des familles de malware courantes.
Création d’outils de chiffrement
Un acteur malveillant connu sous le nom de USDoD a posté un script Python sur un forum de hacking, qu’il a déclaré être le premier script qu’il ait jamais créé. Lorsqu’un autre cybercriminel a fait remarquer que le style de code ressemble à celui d’OpenAI, USDoD a confirmé qu’OpenAI lui a « donné un joli coup de main pour finir le script avec une belle portée ».
L’analyse menée par Check Point Research a confirmé qu’il s’agit d’un script Python qui effectue des opérations de cryptographie. Plus précisément, il s’agit d’un mélange de différentes fonctions de signature, de chiffrement et de déchiffrement. A première vue, le script semble bénin, mais il implémente une variété de fonctions différentes :
- La première partie du script génère une clé cryptographique (utilise spécifiquement la cryptographie à courbe elliptique et la courbe ed25519), qui est utilisée pour signer les fichiers ;
- La seconde partie du script comprend des fonctions qui utilisent un mot de passe codé en dur pour chiffrer des fichiers sur le système en utilisant les algorithmes Blowfish et Twofish de manière concurrente en mode hybride. Ces fonctions permettent à l’utilisateur de chiffrer tous les fichiers dans un répertoire spécifique ou une liste de fichiers ;
- Le script utilise également des clés RSA, des certificats stockés au format PEM, la signature MAC et la fonction de hachage blake2 pour comparer les hachages…