Rencontrez les cerveaux derrière le service de chat IA convivial pour les logiciels malveillants ‘WormGPT’ – Krebs sur la sécurité
WormGPTun nouveau service de chatbot privé annoncé comme un moyen d’utiliser l’intelligence artificielle (IA) pour écrire des logiciels malveillants sans toutes les interdictions embêtantes sur une telle activité imposées par des gens comme ChatGPT et Barde Google, a commencé à ajouter ses propres restrictions sur la façon dont le service peut être utilisé. Confronté à des shoppers essayant d’utiliser WormGPT pour créer des rançongiciels et des escroqueries par hameçonnage, le programmeur portugais de 23 ans qui a créé le projet affirme maintenant que son service se transforme lentement en “un environnement plus contrôlé”.
Picture : SlashNext.com.
Les grands modèles de langage (LLM) créés par le father or mother ChatGPT OpenAI ou Google ou Microsoft tous ont diverses mesures de sécurité conçues pour empêcher les gens d’en abuser à des fins néfastes, telles que la création de logiciels malveillants ou de discours de haine. En revanche, WormGPT s’est présenté comme un nouveau LLM non censuré créé spécifiquement pour les activités de cybercriminalité.
WormGPT était initialement vendu exclusivement sur HackForums, une vaste communauté anglophone qui offre depuis longtemps un marché animé pour les outils et companies de cybercriminalité. Les licences WormGPT sont vendues à des prix allant de 500 à 5 000 euros.
“Présentant ma dernière création, ‘WormGPT’, a écrit “Dernier», le pseudonyme choisi par l’utilisateur de HackForums qui vend le service. “Ce projet vise à fournir une different à ChatGPT, qui vous permette de faire toutes sortes de choses illégales et de les vendre facilement en ligne à l’avenir. Tout ce qui concerne le blackhat auquel vous pouvez penser peut être fait avec WormGPT, permettant à quiconque d’accéder à des activités malveillantes sans jamais quitter le confort de sa maison.
Le principal développeur et chief de WormGPT, “Final”, fait la promotion du service sur HackForums. Picture : SlashNext.
En juillet, une société de sécurité basée sur l’IA appelée SlashSuivant analysé WormGPT et lui a demandé de créer un leurre de phishing «compromis de messagerie professionnelle» (BEC) qui pourrait être utilisé pour inciter les employés à payer une fausse facture.
“Les résultats ont été troublants”, a déclaré SlashNext Daniel Kelley a écrit. “WormGPT a produit un e-mail qui était non seulement remarquablement persuasif mais aussi stratégiquement rusé, montrant son potentiel d’attaques de phishing et BEC sophistiquées.”
SlashNext a demandé à WormGPT de rédiger cet e-mail de phishing BEC. Picture : SlashNext.
Un examen des publications de Final sur HackForums au fil des ans montre que cet individu possède une vaste expérience dans la création et l’utilisation de logiciels malveillants. En août 2022, Final a publié un fil de vente pour «Voleur arctique», un cheval de Troie voleur de données et un enregistreur de frappe qu’il y a vendu pendant de nombreux mois.
“Je suis très expérimenté avec les logiciels malveillants”, a écrit Final dans un message à un autre utilisateur de HackForums l’année dernière.
Final a également vendu une model modifiée du voleur d’informations DCRatainsi qu’un service d’obfuscation commercialisé auprès de codeurs malveillants qui vendent leurs créations et souhaitent les protéger contre toute modification ou copie par les shoppers.
Peu de temps après avoir rejoint le discussion board au début de 2021, Final a déclaré à plusieurs utilisateurs différents de Hackforums qu’il s’appelait Rafael et qu’il venait du Portugal. HackForums a une fonctionnalité qui permet à toute personne désireuse de prendre le temps de parcourir les publications d’un utilisateur pour savoir quand et si cet utilisateur était auparavant lié à un autre compte.
Cette fonction de traçage de compte révèle que si Final a utilisé de nombreux pseudonymes au fil des ans, il utilisait à l’origine le surnom “ruiunashackers.” Le premier résultat de recherche dans Google pour ce surnom distinctive fait apparaître un TIC Tac compte avec le même surnom, et ce compte TikTok dit qu’il est associé à un Instagram compte pour un Raphaël Morais de Porto, une ville côtière du nord-ouest du Portugal.
UN LIVRE OUVERT
Atteint through Instagram et Telegram, Morais a déclaré qu’il était heureux de discuter de WormGPT.
“Vous pouvez me demander n’importe quoi”, a déclaré Morais. “Je suis un livre ouvert.”
Morais a déclaré qu’il était récemment diplômé d’un institut polytechnique au Portugal, où il a obtenu un diplôme en technologie de l’info. Il a déclaré que seulement 30 à 35% du travail sur WormGPT était le sien et que d’autres codeurs contribuaient au projet. Jusqu’à présent, dit-il, environ 200 shoppers ont payé pour utiliser le service.
“Je ne fais pas ça pour l’argent”, a expliqué Morais. “C’était essentiellement un projet que je pensais (était) intéressant au début et maintenant je le maintiens juste pour aider (la) communauté. Nous avons beaucoup mis à jour depuis la sortie, notre modèle est maintenant 5 ou 6 fois meilleur en termes d’apprentissage et de précision des réponses.
WormGPT n’est pas le seul clone escroc de ChatGPT présenté comme convivial pour les auteurs de logiciels malveillants et les cybercriminels. Selon SlashNext, une tendance troublante sur les boards de cybercriminalité est évidente dans les fils de dialogue proposant des “jailbreaks” pour des interfaces comme ChatGPT.
“Ces” jailbreaks “sont des invitations spécialisées qui deviennent de plus en plus courantes”, a écrit Kelley. «Ils font référence à des entrées soigneusement conçues conçues pour manipuler des interfaces telles que ChatGPT afin de générer une sortie pouvant impliquer la divulgation d’informations sensibles, la manufacturing de contenu inapproprié ou même l’exécution de code nuisible. La prolifération de telles pratiques souligne les défis croissants pour maintenir la sécurité de l’IA face à des cybercriminels déterminés.
Morais a déclaré qu’ils utilisaient le Modèle GPT-J 6B depuis le lancement du service, bien qu’il ait refusé de discuter de la supply des LLM qui alimentent WormGPT. Mais il a déclaré que l’ensemble de données qui informe WormGPT est énorme.
“Quiconque teste wormgpt peut voir qu’il n’a aucune différence avec toute autre IA non censurée ou même chatgpt avec des jailbreaks”, a expliqué Morais. “Ce qui change la donne, c’est que notre ensemble de données (bibliothèque) est grand.”
Morais a déclaré qu’il avait commencé à travailler sur des ordinateurs à l’âge de 13 ans et qu’il avait rapidement commencé à explorer les vulnérabilités de la sécurité et la possibilité de gagner sa vie en les trouvant et en les signalant aux éditeurs de logiciels.
“Mon histoire a commencé en 2013 avec quelques activités de greyhat, jamais rien de blackhat, surtout de bugbounty”, a-t-il déclaré. “En 2015, mon amour pour le codage a commencé, en apprenant C# et d’autres langages de programmation .internet. En 2017, j’ai commencé à utiliser de nombreux boards de piratage parce que j’avais des problèmes à la maison (en termes d’argent) donc j’ai dû aider mes mother and father avec de l’argent… j’ai commencé à vendre quelques produits (pas encore blackhat) et en 2019 j’ai commencé à devenir blackhat . Jusqu’à il y a quelques mois, je vendais encore des produits blackhat, mais maintenant, avec wormgpt, je vois un avenir radieux et j’ai décidé de recommencer ma transition vers whitehat.
WormGPT vend des licences through une chaîne dédiée sur Telegram, et la chaîne a récemment déploré que la couverture médiatique de WormGPT ait jusqu’à présent peint le service sous un jour injustement négatif.
“Nous ne sommes pas censurés, pas blackhat!” la chaîne WormGPT a annoncé fin juillet. “Depuis le début, les médias nous ont dépeints comme un LLM (Language Mannequin) malveillant, alors que nous n’avons fait qu’utiliser le nom ‘blackhatgpt’ pour notre chaîne Telegram en tant que mème. Nous encourageons les chercheurs à tester notre outil et à fournir des commentaires pour déterminer s’il est aussi mauvais que les médias le décrivent au monde.
Il s’avère que lorsque vous annoncez un service en ligne pour faire de mauvaises choses, les gens ont tendance à se présenter avec l’intention de faire de mauvaises choses avec. Le chief de WormGPT, Final, semble l’avoir reconnu lors du lancement preliminary du service, qui comprenait la clause de non-responsabilité : “Nous ne sommes pas responsables si vous utilisez cet outil pour faire de mauvaises choses.”
Mais dernièrement, a déclaré Morais, WormGPT a été contraint d’ajouter ses propres garde-fous.
“Nous avons interdit certains sujets sur WormGPT lui-même”, a déclaré Morais. “Tout ce qui concerne les meurtres, le trafic de drogue, les enlèvements, la pédopornographie, les rançongiciels, la criminalité financière. Nous travaillons également sur le blocage de BEC, pour le second c’est encore potential mais la plupart du temps ce sera incomplet automotive nous avons déjà ajouté quelques limitations. Notre plan est d’avoir WormGPT marqué comme une IA non censurée, pas un chapeau noir. Au cours des dernières semaines, nous avons bloqué la dialogue de certains sujets sur WormGPT. »
Pourtant, Final a continué à déclarer sur HackForums – et plus récemment sur le discussion board beaucoup plus grave sur la cybercriminalité Exploiter – que WormGPT créera avec plaisir des logiciels malveillants capables d’infecter un ordinateur et de devenir “totalement indétectables” (FUD) par pratiquement tous les principaux fabricants d’antivirus (AV).
“Vous pouvez facilement acheter WormGPT et lui demander un script de malware Rust et il sera sûr à 99% d’être FUD contre la plupart des AV”, a déclaré Final à un habitant du discussion board fin juillet.
Invité à répertorier certaines des utilisations légitimes ou ce qu’il a appelé “chapeau blanc” pour WormGPT, Morais a déclaré que son service offre un code fiable, des caractères illimités et des réponses précises et rapides.
“Nous avons utilisé WormGPT pour résoudre certains problèmes sur notre web site Net liés à d’éventuels problèmes et exploits SQL”, a-t-il expliqué. “Vous pouvez utiliser WormGPT pour créer des pare-feu, gérer iptables, analyser le réseau, les bloqueurs de code, les mathématiques, n’importe quoi.”
Morais a déclaré qu’il souhaitait que WormGPT exerce une affect constructive sur la communauté de la sécurité, et non une affect destructrice, et qu’il essaie activement d’orienter le projet dans cette route. Le fil de dialogue HackForums d’origine faisant passer WormGPT en tant que meilleur ami d’un auteur de logiciels malveillants a depuis été supprimé, et le service est désormais annoncé comme “WormGPT – Meilleure different GPT sans limites – Axé sur la confidentialité”.
“Nous avons quelques chercheurs qui utilisent notre wormgpt pour des trucs whitehat, c’est notre objectif principal maintenant, transformer wormgpt en une bonne selected pour (la) communauté”, a-t-il déclaré.
On ne sait pas encore si les shoppers de Final partagent ce level de vue.
