Phát hiện bất ngờ trong mã độc của tin tặc

Các chuyên gia của hãng nghiên cứu bảo mật Proofpoint đã công bố những báo cáo liên quan đến nhóm tin tặc với biệt danh "TA547" và cách thức hoạt động của chúng.

Theo đó, nhóm tin tặc TA547 thường gửi các email lừa đảo có chứa loại mã độc mang tên Rhadamanthys tới các doanh nghiệp. Đây là loại mã độc nhắm đến hệ điều hành Windows, lần đầu được phát hiện vào năm 2018 nhưng liên tục được tin tặc cập nhật và phát triển. Loại mã độc này cho phép tin tặc đánh cắp dữ liệu, bao gồm thông tin đăng nhập của các tài khoản trực tuyến, tài khoản ngân hàng; mã hóa dữ liệu để tống tiền; phát tán trong mạng lưới nội bộ, gây ra thiệt hại lớn…

Các chuyên gia cho biết, Rhadamanthys thường được các tin tặc phát tán thông qua các email lừa đảo đính kèm tập tin chứa mã độc hoặc chia sẻ trên các trang web chứa mã độc. Ngay khi nạn nhân mở tập tin đính kèm, mã độc sẽ xâm nhập vào máy tính và hoạt động một cách âm thầm. Đáng chú ý, Rhadamanthys sử dụng những kỹ thuật tiên tiến để tránh bị phát hiện bởi các phần mềm diệt virus.

Trong quá trình điều tra về nhóm tin tặc TA547 và mã độc Rhadamanthys, các chuyên gia bảo mật của Proofpoint đã phát hiện những điều bất ngờ.

Cu thể, khi phân tích mã nguồn của Rhadamanthys phát triển bởi TA547, các chuyên gia nhận thấy rằng, tin tặc đã sử dụng những phần mềm chatbot tích hợp AI, như ChatGPT của OpenAI hay Gemini của Google, để viết các đoạn mã nguồn của mã độc. Những đoạn mã nguồn được viết một cách máy móc, kèm theo chú thích rõ ràng sau mỗi câu lệnh để nêu rõ tác dụng của từng đoạn mã lập trình.

Trong khi đó, các tin tặc thường che giấu kỹ thuật tấn công của mình nên sẽ không viết chú thích rõ ràng trong mã nguồn lập trình. Chỉ có các chatbot tích hợp AI làm điều này với từng đoạn mã nguồn do chúng viết ra để giải thích cụ thể tác dụng cho người dùng.

"Các đoạn mã lập trình trong mã độc được chú thích rất rõ ràng để giải thích mục đích cụ thể của từng đoạn mã. Đây là điều thường thấy khi nhờ các công cụ AI viết mã lập trình. Điều này cho thấy, nhóm tin tặc TA547 đã lợi dụng các chatbot AI để viết mã độc giúp chúng" - đại diện của Proofpoint cho biết.

Theo báo cáo của Proofpoint, các tin tặc đã lợi dụng các chatbot tích hợp AI để giúp chúng rút ngắn thời gian phát triển các loại mã độc trước khi phát tán đến người dùng.

Tuy nhiên, đây không phải là lần đầu tiên các công cụ AI bị tin tặc lợi dụng để phát triển mã độc. Tháng 8/2023, Cục điều tra Liên bang Mỹ (FBI) đã đưa ra cảnh báo về việc tội phạm mạng sử dụng các chương trình AI để đẩy nhanh tốc độ phát triển các phần mềm độc hại và lên kịch bản cho những hành vi lừa đảo trực tuyến.

Theo FBI, các tin tặc có thể dựa vào những đoạn mã lập trình do công cụ AI viết ra, sau đó tinh chỉnh để thêm những chức năng nguy hiểm cho các loại mã độc. Điều này cho phép tin tặc có thể qua mặt các phần mềm bảo mật để xâm nhập vào thiết bị của nạn nhân. Bên cạnh đó, tin tặc còn có thể sử dụng các công cụ AI để xây dựng những trang web nhanh chóng nhằm phát tán mã độc hoặc lừa đảo người dùng.