🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google divulgou na segunda-feira que identificou um ator de ameaça desconhecido usando uma exploração de dia zero que, segundo ele, foi provavelmente desenvolvida com um sistema de inteligência artificial (IA), marcando a primeira vez que a tecnologia foi colocada em uso em estado selvagem em um contexto malicioso para descoberta de vulnerabilidades e geração de exploração.
Diz-se que a atividade é obra de atores de ameaças do crime cibernético que parecem ter colaborado entre si para planejar o que a gigante da tecnologia descreveu como uma “operação de exploração de vulnerabilidade em massa”.
“Nossa análise de explorações associadas a esta campanha identificou uma vulnerabilidade de dia zero implementada em um script Python que permite ao usuário ignorar a autenticação de dois fatores (2FA) em uma popular ferramenta de administração de sistema baseada na web de código aberto”, disse o Google Threat Intelligence Group (GTIG) em um relatório compartilhado com The Hacker News.
A gigante da tecnologia disse que trabalhou com o fornecedor afetado para divulgar a falha de forma responsável e corrigi-la, a fim de interromper a atividade de forma proativa. Não divulgou o nome da ferramenta.
Embora não haja evidências que sugiram que a ferramenta Gemini AI do Google tenha sido usada para ajudar os atores da ameaça, o GTIG avaliou com alta confiança que um modelo de IA foi transformado em arma para facilitar a descoberta e a transformação em arma da falha por meio de um script Python que apresentava todas as características normalmente associadas ao código gerado pelo modelo de linguagem grande (LLM).
"Por exemplo, o script contém uma abundância de doutrinas educacionais, incluindo uma pontuação CVSS alucinada, e usa um formato Pythonic de livro didático estruturado, altamente característico dos dados de treinamento de LLMs (por exemplo, menus de ajuda detalhados e a classe de cores ANSI _C limpa)", acrescentou GTIG.
A vulnerabilidade, descrita como desvio 2FA, requer credenciais de usuário válidas para exploração. Ela decorre de uma falha lógica semântica de alto nível que surge como resultado de uma suposição de confiança codificada, algo que os LLMs são excelentes em detectar.
“A IA já está acelerando a descoberta de vulnerabilidades, reduzindo o esforço necessário para identificar, validar e transformar falhas em armas”, disse Ryan Dewhurst, chefe de inteligência de ameaças da watchTowr, ao The Hacker News em um comunicado. "Esta é a realidade de hoje: a descoberta, a transformação em armas e a exploração são mais rápidas. Não estamos caminhando para prazos comprimidos; temos observado a compressão dos prazos há anos. Não há piedade dos atacantes e os defensores não podem optar por sair."
O desenvolvimento ocorre no momento em que a IA não apenas atua como um multiplicador de força para divulgação de vulnerabilidades e abusos, mas também permite que invasores desenvolvam malware polimórfico e conduzam operações autônomas de malware, como observado no caso do PromptSpy, um malware Android que abusa do Gemini para analisar a tela atual e fornecer instruções para fixar o aplicativo malicioso na lista de aplicativos recentes.
Uma investigação mais aprofundada do backdoor revelou um conjunto mais amplo de recursos para permitir que o malware navegue na interface do usuário do Android e monitore e interprete de forma autônoma a atividade do usuário em tempo real para determinar o próximo curso de ação usando um módulo de agente autônomo.
O PromptSpy também está equipado para capturar dados biométricos da vítima para reproduzir gestos de autenticação, como um PIN ou padrão da tela de bloqueio, para recuperar o acesso a um dispositivo comprometido. Além disso, é capaz de impedir a desinstalação usando um módulo “AppProtectionDetector” que identifica as coordenadas na tela do botão “Desinstalar” e serve uma sobreposição invisível logo acima do botão para bloquear os eventos de toque da vítima e dar a impressão de que o botão não responde.
“Embora o PromptSpy seja inicializado usando infraestrutura e credenciais padrão codificadas, o malware é projetado com alta resiliência operacional, permitindo que os adversários girem componentes críticos em tempo de execução sem reimplantar a carga útil do PromptSpy”, disse o Google.
"Especificamente, a infraestrutura de comando e controle (C2) do malware, incluindo as chaves da API Gemini e o servidor de retransmissão VNC, pode ser atualizada dinamicamente através do canal C2. Este modelo de configuração demonstra que os desenvolvedores anteciparam contramedidas defensivas e projetaram o backdoor para manter a presença mesmo se pontos finais de infraestrutura específicos forem identificados e bloqueados pelos defensores."
O Google disse que tomou medidas contra o PromptSpy, desativando todos os ativos relacionados à atividade maliciosa. Nenhum aplicativo contendo o malware foi descoberto na Play Store. Alguns outros casos de abuso específico de Gêmeos detectados pelo Google estão listados abaixo –
Um suposto grupo de espionagem cibernética do nexo da China, apelidado de UNC2814, levou a Gemini a pedir-lhe que assumisse o papel de um especialista em segurança de rede para desencadear o jailbreak orientado por pessoas e apoiar a pesquisa de vulnerabilidades em alvos de dispositivos incorporados, incluindo firmware TP-Link e implementações do Odette File Transfer Protocol (OFTP).
O nem
Diz-se que a atividade é obra de atores de ameaças do crime cibernético que parecem ter colaborado entre si para planejar o que a gigante da tecnologia descreveu como uma “operação de exploração de vulnerabilidade em massa”.
“Nossa análise de explorações associadas a esta campanha identificou uma vulnerabilidade de dia zero implementada em um script Python que permite ao usuário ignorar a autenticação de dois fatores (2FA) em uma popular ferramenta de administração de sistema baseada na web de código aberto”, disse o Google Threat Intelligence Group (GTIG) em um relatório compartilhado com The Hacker News.
A gigante da tecnologia disse que trabalhou com o fornecedor afetado para divulgar a falha de forma responsável e corrigi-la, a fim de interromper a atividade de forma proativa. Não divulgou o nome da ferramenta.
Embora não haja evidências que sugiram que a ferramenta Gemini AI do Google tenha sido usada para ajudar os atores da ameaça, o GTIG avaliou com alta confiança que um modelo de IA foi transformado em arma para facilitar a descoberta e a transformação em arma da falha por meio de um script Python que apresentava todas as características normalmente associadas ao código gerado pelo modelo de linguagem grande (LLM).
"Por exemplo, o script contém uma abundância de doutrinas educacionais, incluindo uma pontuação CVSS alucinada, e usa um formato Pythonic de livro didático estruturado, altamente característico dos dados de treinamento de LLMs (por exemplo, menus de ajuda detalhados e a classe de cores ANSI _C limpa)", acrescentou GTIG.
A vulnerabilidade, descrita como desvio 2FA, requer credenciais de usuário válidas para exploração. Ela decorre de uma falha lógica semântica de alto nível que surge como resultado de uma suposição de confiança codificada, algo que os LLMs são excelentes em detectar.
“A IA já está acelerando a descoberta de vulnerabilidades, reduzindo o esforço necessário para identificar, validar e transformar falhas em armas”, disse Ryan Dewhurst, chefe de inteligência de ameaças da watchTowr, ao The Hacker News em um comunicado. "Esta é a realidade de hoje: a descoberta, a transformação em armas e a exploração são mais rápidas. Não estamos caminhando para prazos comprimidos; temos observado a compressão dos prazos há anos. Não há piedade dos atacantes e os defensores não podem optar por sair."
O desenvolvimento ocorre no momento em que a IA não apenas atua como um multiplicador de força para divulgação de vulnerabilidades e abusos, mas também permite que invasores desenvolvam malware polimórfico e conduzam operações autônomas de malware, como observado no caso do PromptSpy, um malware Android que abusa do Gemini para analisar a tela atual e fornecer instruções para fixar o aplicativo malicioso na lista de aplicativos recentes.
Uma investigação mais aprofundada do backdoor revelou um conjunto mais amplo de recursos para permitir que o malware navegue na interface do usuário do Android e monitore e interprete de forma autônoma a atividade do usuário em tempo real para determinar o próximo curso de ação usando um módulo de agente autônomo.
O PromptSpy também está equipado para capturar dados biométricos da vítima para reproduzir gestos de autenticação, como um PIN ou padrão da tela de bloqueio, para recuperar o acesso a um dispositivo comprometido. Além disso, é capaz de impedir a desinstalação usando um módulo “AppProtectionDetector” que identifica as coordenadas na tela do botão “Desinstalar” e serve uma sobreposição invisível logo acima do botão para bloquear os eventos de toque da vítima e dar a impressão de que o botão não responde.
“Embora o PromptSpy seja inicializado usando infraestrutura e credenciais padrão codificadas, o malware é projetado com alta resiliência operacional, permitindo que os adversários girem componentes críticos em tempo de execução sem reimplantar a carga útil do PromptSpy”, disse o Google.
"Especificamente, a infraestrutura de comando e controle (C2) do malware, incluindo as chaves da API Gemini e o servidor de retransmissão VNC, pode ser atualizada dinamicamente através do canal C2. Este modelo de configuração demonstra que os desenvolvedores anteciparam contramedidas defensivas e projetaram o backdoor para manter a presença mesmo se pontos finais de infraestrutura específicos forem identificados e bloqueados pelos defensores."
O Google disse que tomou medidas contra o PromptSpy, desativando todos os ativos relacionados à atividade maliciosa. Nenhum aplicativo contendo o malware foi descoberto na Play Store. Alguns outros casos de abuso específico de Gêmeos detectados pelo Google estão listados abaixo –
Um suposto grupo de espionagem cibernética do nexo da China, apelidado de UNC2814, levou a Gemini a pedir-lhe que assumisse o papel de um especialista em segurança de rede para desencadear o jailbreak orientado por pessoas e apoiar a pesquisa de vulnerabilidades em alvos de dispositivos incorporados, incluindo firmware TP-Link e implementações do Odette File Transfer Protocol (OFTP).
O nem
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #usaram #ia #para #desenvolver #o #primeiro #desvio #2fa #de #dia #zero #conhecido #para #exploração #em #massa
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário