O grupo de cibercrime APT36, com ligações ao Paquistão, encontrou uma nova forma de atacar as suas vítimas. Em vez de criar código altamente sofisticado, os piratas informáticos estão a utilizar ferramentas de inteligência artificial para gerar malware em massa. O objetivo não é a qualidade técnica, mas sim a quantidade, procurando sobrecarregar as defesas das organizações com um volume constante de ameaças.
Esta tática foi descoberta e batizada de "Negação de Deteção Distribuída" (Distributed Denial of Detection), após os investigadores analisarem campanhas recentes dirigidas ao governo indiano, às suas embaixadas e a outras entidades do setor aeroespacial e de defesa no sul da Ásia.
A tática da inteligência artificial e os erros de programação
O grupo, também conhecido como Transparent Tribe, adotou a prática de "vibe-coding", que consiste em utilizar comandos de linguagem natural para pedir a uma inteligência artificial que escreva o código. No entanto, o software resultante, apelidado de "vibeware", apresenta uma qualidade bastante baixa e está repleto de erros.
Num dos casos analisados, uma ferramenta desenhada para roubar credenciais dos navegadores tinha apenas um espaço reservado (placeholder) em vez do endereço real do servidor de comando e controlo, o que significa que nunca conseguiria extrair qualquer dado. Noutro exemplo, uma porta traseira (backdoor) reiniciava constantemente a própria marca temporal que devia monitorizar, fazendo com que a máquina infetada parecesse estar sempre online, independentemente do seu estado real.
Radu Tudorica, investigador responsável pela análise, nota que estes são erros típicos de quando o código tem a sintaxe correta, mas a lógica está inacabada. O malware tende a colapsar sobre o seu próprio peso assim que atinge um nível moderado de complexidade.
O perigo da produção em escala industrial
Apesar da mediocridade do código, as empresas cometem um erro se subestimarem o risco. A grande vantagem da inteligência artificial para os atacantes é a facilidade com que conseguem gerar malware em linguagens de programação mais obscuras, como Nim, Zig e Crystal. Como a maioria dos motores de deteção está otimizada para procurar ameaças escritas em linguagens comuns como C++ ou C#, a utilização destas alternativas menos conhecidas acaba por contornar as defesas padrão.
Além das linguagens pouco habituais, o APT36 utiliza plataformas legítimas para esconder as suas comunicações de comando e controlo. O grupo socorre-se de serviços como o Google Sheets, Slack, Discord e Supabase para enviar comandos e receber os dados roubados das máquinas comprometidas.
Para garantir que não perdem o acesso às redes, os atacantes instalam múltiplos implantes em simultâneo nas vítimas, cada um desenvolvido numa linguagem diferente e a usar protocolos de comunicação distintos. Desta forma, se um canal for neutralizado pelas equipas de segurança, os restantes mantêm-se ativos.
Martin Zugec, diretor de soluções técnicas, alerta que o verdadeiro perigo para as organizações reside nesta "industrialização da mediocridade". Os atacantes exploram falhas básicas de segurança, como redes planas e a falta de monitorização ativa, para voar abaixo do radar com as suas táticas de baixo nível, conforme detalhado no relatório da Bitdefender.
Nenhum comentário
Seja o primeiro!