تُحسّن نماذج اللغات الكبيرة غير المقيدة (LLMs) مثل WormGPT 4 و KawaiiGPT قدراتها على توليد برمجيات خبيثة، وتوفير نصوص برمجية وظيفية لتشفير برامج الفدية والحركة الجانبية.
أجرى باحثون في وحدة Palo Alto Networks 42 تجارب على نموذجي اللغات الكبيرة غير المقيدة اللذين يشهدان انتشارًا متزايدًا بين مجرمي الإنترنت من خلال الاشتراكات المدفوعة أو النسخ المحلية المجانية.
ظهر نموذج WormGPT في الأصل عام 2023، ولكن ورد أن المشروع توقف في العام نفسه. يُعد WormGPT 4 إعادة ظهور للعلامة التجارية التي ظهرت في سبتمبر. يتوفر بسعر 50 دولارًا أمريكيًا شهريًا أو 220 دولارًا أمريكيًا للوصول مدى الحياة، ويعمل كنسخة غير خاضعة للرقابة من ChatGPT مُدربة خصيصًا لعمليات الجرائم الإلكترونية.
Wiz
يُعد KawaiiGPT، الذي اكتُشف هذا العام في يوليو، بديلاً مجانيًا قائمًا على المجتمع، حيث يُمكنه إنشاء رسائل تصيد احتيالي مُصممة بإتقان وأتمتة الحركة الجانبية من خلال إنتاج نصوص برمجية جاهزة للتنفيذ.
نص WormGPT 4 المُغلق
اختبر باحثو الوحدة 42 قدرة برنامج LLM الخبيث على إنشاء شيفرة برمجية فدية تُشفّر جميع ملفات PDF على مُضيف Windows.
أنشأت الأداة نصًا برمجيًا PowerShell يُمكن تهيئته للبحث عن امتدادات ملفات مُحددة في مسارات مُحددة وتشفير البيانات باستخدام خوارزمية AES-256.
وفقًا للباحثين، أضافت الشيفرة المُولّدة خيارًا لاستخراج البيانات عبر Tor، مما يُلبي مُتطلبات تشغيلية واقعية.
بمُطالبة أخرى، أصدر WormGPT 4 “مذكرة فدية مُرعبة وفعالة” ادّعت “تشفيرًا عسكريًا” وأعطت مهلة 72 ساعة قبل مضاعفة طلب الدفع. مذكرة الفدية المُولَّدة
مذكرة الفدية المُولَّدة وفقًا للباحثين، “يوفر WormGPT 4 تلاعبًا لغويًا موثوقًا به لهجمات BEC والتصيد الاحتيالي”، مما يسمح حتى للمهاجمين ذوي المهارات المحدودة بشن هجمات أكثر تعقيدًا، والتي عادةً ما ينفذها جهات تهديد أكثر خبرة.
إمكانيات KawaiiGPT
يُعد KawaiiGPT برنامجًا آخر من نوع LLM تم توثيقه هذا العام. اختبر باحثو الوحدة 42 الإصدار 2.5، ويؤكدون أن إعداده على نظام Linux لا يستغرق سوى خمس دقائق.
تم إنشاء بريد إلكتروني للتصيد الاحتيالي باستخدام KawaiiGPT
اختبر الباحثون إمكانياته باستخدام أوامر تُوجِّهه لإنشاء:
إنشاء رسائل تصيد احتيالي موجهة مع انتحال نطاق واقعي وروابط لجمع بيانات الاعتماد.
نص برمجي بلغة بايثون للحركة الجانبية، استخدم مكتبة باراميكو SSH للاتصال بجهاز مضيف وتنفيذ أوامر عن بُعد عبر exec_command().
نص برمجي بلغة بايثون يبحث بشكل متكرر في نظام ملفات ويندوز عن الملفات المستهدفة باستخدام os.walk، ثم استخدم مكتبة smtplib من بايثون لحزم البيانات واستخراجها إلى عنوان يتحكم فيه المهاجم.
إنشاء مذكرات فدية مع تعليمات دفع قابلة للتخصيص، وأطر زمنية، ومطالبات نموذجية بقوة التشفير.
وظيفة استخراج البيانات.
على الرغم من أن KawaiiGPT لم يُظهر توليد روتين تشفير فعلي أو حمولة فدية وظيفية مثل WormGPT 4، إلا أن الباحثين يحذرون من أن قدرته على تنفيذ الأوامر قد تسمح للمهاجمين بتصعيد الامتيازات، وسرقة البيانات، وإسقاط وتنفيذ حمولات إضافية.
يمتلك كلا البرنامجين الخبيثين مئات الأعضاء المشتركين في قنواتهما المخصصة على تيليجرام، حيث يتبادل المجتمع النصائح والإرشادات.
يُؤكد تحليل هذين النموذجين أن المهاجمين يستخدمون أدوات LLM الخبيثة بنشاط في سياق التهديدات، كما تُحذر الوحدة 42، مشيرةً أيضًا إلى أن هذه الأدوات لم تعد تُمثل تهديدًا نظريًا.
في كلا السيناريوهين، يكتسب المهاجمون عديمو الخبرة القدرة على شن هجمات أكثر تطورًا على نطاق واسع، مما يُقلل الوقت اللازم للبحث عن الضحايا أو تصميم الأدوات. كما تُنتج النماذج أساليب تصيد احتيالي مصقولة وطبيعية، خالية من الأخطاء النحوية الواضحة في عمليات الاحتيال التقليدية.
