Hackers usam IA para burlar antivírus

26/09/2025 mindsecblog Notícias 0

Hackers usam IA para burlar antivírus. Hackers estão usando IA generativa “ChatGPT” para escapar das defesas antivírus

O grupo Kimsuky APT começou a aproveitar a IA generativa ChatGPT para criar carteiras de identidade de agências militares sul-coreanas deepfake.

Iscas de phishing fornecem arquivos em lote e scripts AutoIt projetados para evitar a verificação antivírus por meio de ofuscação sofisticada. As organizações devem implantar soluções de detecção e resposta de endpoint (EDR) para desmascarar scripts ocultos e endpoints seguros.

Em 17 de julho de 2025, o Genians Security Center (GSC) identificou uma campanha de spear-phishing atribuída ao grupo Kimsuky da Coreia do Norte se passando por uma instituição relacionada à defesa.

Os invasores geraram amostras de imagens de carteiras de identidade militares usando o ChatGPT e incorporaram esses deepfakes em uma isca de spear-phishing disfarçada de solicitação de revisão de emissão de identidade.

Cenário de Ataque.Cenário de Ataque.

Deepfake, uma mistura de “aprendizado profundo” e “falso”, refere-se à mídia gerada ou manipulada por IA que imita de forma convincente indivíduos reais.

Popularizada pela primeira vez em 2017 para trocas de rostos de celebridades, a tecnologia agora permite que atores patrocinados pelo Estado produzam identificação falsificada para operações de espionagem. Este relatório analisa uma exploração deepfake de IA no mundo real, extrai insights sobre ameaças e descreve possíveis medidas de defesa.

No início de julho, o GSC lançou seu “Clique em Corrigir Relatório de Análise de Táticas” detalhando o phishing APT que imitava as funções de segurança do portal sul-coreano.

A mesma família de malware —comandos maliciosos do PowerShell fornecidos por meio de janelas pop-up— ressurgiu na campanha deepfake. Antes da falsificação de ID orientada pelo ChatGPT‐, Kimsuky também enviava e-mails promovendo “IA gerenciando e-mails em seu nome”

Enquanto isso, os EUA Fornecedor de IA Anthropic relatado que os trabalhadores de TI norte-coreanos usaram indevidamente a IA generativa para fabricar identidades virtuais e concluir entrevistas técnicas, contornar sanções internacionais e ganhar moeda estrangeira.

O Ministério das Relações Exteriores da Coreia do Sul alertou que a terceirização para empreiteiros de TI norte-coreanos representa roubo de PI, riscos de reputação e legais.

Estes desenvolvimentos sublinham como Ferramentas de IA ampliar as capacidades de ameaça patrocinadas pelo Estado e exigir monitoramento vigilante em todos os fluxos de trabalho operacionais e de recrutamento.

Análise Técnica

Deepfake ID Spear-Phishing

Em julho, os invasores enviaram um e-mail falsificando de perto o domínio de uma instituição militar. A mensagem continha um arquivo “Government_ID_Draft(***).zip”, que descompactou um atalho malicioso do Windows (.lnk).

Usuários preocupados com a segurança geralmente desconfiam de anexos de e-mail desconhecidos e evitam abri-los, um fato bem compreendido pelos agentes de ameaças do APT.

E-mail de ataque do ClickFix disfarçado de anexo de documento HWP.E-mail de ataque do ClickFix disfarçado de anexo de documento HWP.
 

O .lnk iniciou o cmd.exe para definir uma variável de ambiente contendo uma string ofuscada e, em seguida, extraiu caracteres sequencialmente para reconstruir e invocar um comando do PowerShell.

Este comando contatou um privado Servidor C2 para baixar a imagem de ID gerada por IA e um arquivo em lote, ‘LhUdPC3G.bat.’ Os metadados da imagem revelaram o ChatGPT como sua origem, e um detector deepfake o sinalizou com 98% de probabilidade.

Metadados do arquivo PNG (parcialmente mascarado). Metadados do arquivo PNG (parcialmente mascarado).

Como os documentos de identificação de funcionários do governo militar são documentos de identificação legalmente protegidos, produzir cópias em formato idêntico ou semelhante é ilegal.

O script em lote empregou ofuscação semelhante baseada em fatiamento para reconstruir comandos que registravam execução adicional de carga útil por meio do Agendador de Tarefas sob o disfarce de uma atualização do Hancom Office.

Ofuscação via AutoIt e Batch Scripts

Os scripts iniciais em lote e AutoIt usavam uma cifra rotativa no estilo Vigenère para criptografar strings, frustrando a análise estática.

O código AutoIt descompilado revelou funções que aplicavam mudanças de caracteres com base em uma chave repetida e uma matriz de bits.

Após atrasos de execução de sete segundos —uma tática para contornar tempos limite de sandbox—, o script baixou e descompactou cargas úteis CAB adicionais e, em seguida, agendou tarefas recorrentes disfarçadas de atualizações legítimas de software.

Essas técnicas de evasão em camadas passam com sucesso pelo antivírus baseado em assinatura, ao mesmo tempo que complicam a análise manual.

Defesa e Recomendações

Soluções antivírus exclusivas para assinaturas têm dificuldade para detectar scripts profundamente ofuscados e chamarizes gerados por IA. Plataformas de detecção e resposta de endpoint (EDR), como a Genian EDR, são essenciais para:

  1. Identificando arquivos de atalho LNK e não ofuscados PowerShell comandos em tempo de execução.
  2. Sinalização de anomalias baseadas em comportamento, incluindo descompressão de arquivos CAB suspeitos e desvio de padrões conhecidos de atualização de aplicativos.
  3. Visualizando cadeias completas de execução de ataques —independentemente de atrasos— por meio de histórias que vinculam chegada de e-mails de phishing, reconstrução de scripts, comunicação C2 e criação de tarefas agendadas.

Ao combinar monitoramento em tempo real de árvores de processo, manipulações de variáveis de ambiente e conexões de rede de saída, o EDR garante que as camadas de ofuscação sejam desvendadas e as ameaças neutralizadas antes da exfiltração de dados.

A adoção do ChatGPT pelo grupo Kimsuky para criação de deepfakes marca uma nova fronteira nas operações de APT.

A IA generativa acelera a produção de iscas convincentes, enquanto a ofuscação avançada em scripts em lote e AutoIt evita as defesas tradicionais.

As organizações devem migrar para implantações robustas de EDR para detectar comportamentos maliciosos ocultos em códigos ofuscados e manter a segurança contínua do endpoint contra ameaças cibernéticas alimentadas por IA em evolução.

Fonte GBHackers

Veja também:

About mindsecblog 3222 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Escalada de ciberataques

01/08/2025 mindsecblog Notícias 0

Escalada de ciberataques transforma segurança digital em prioridade nas empresas País registra 1.379 ataques por minuto e ocupa a segunda posição mundial em incidentes cibernéticos   O Brasil vive uma verdadeira epidemia de ataques cibernéticos. […]

Artigos

Setor financeiro é um dos mais visados por grupos de ransomware

28/02/2024 mindsecblog Artigos, Notícias 0

Setor financeiro é um dos mais visados por grupos de ransomware, aponta estudo da Netspoke. O Netskope Threat Labs publicou um relatório que revela que o setor financeiro continua entre os principais setores alvo de […]

Notícias

Ataque GIFShell cria shell reverso usando GIFs do MS Teams

12/09/2022 mindsecblog Notícias 0

Ataque GIFShell cria shell reverso usando GIFs do MS Teams. Nova técnica de ataque permite que os agentes de ameaças abusem do Microsoft Teams. Uma nova técnica de ataque chamada ‘GIFShell’ permite que os agentes […]

Be the first to comment

Deixe sua opinião!