📰 Informação fresquinha chegando para você!

A notícia que você procurava está aqui!

Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça de língua russa conhecido como “bandcampro” usou a ferramenta Gemini CLI AI de código aberto do Google como agente de hacking e para operar uma botnet de pequena escala.

O agente de IA respondeu às solicitações do invasor, solucionando problemas rapidamente e até propondo melhorias operacionais pelo menos 59 vezes.

Em mais de 200 sessões entre 19 de maio e 21 de abril, o ator da ameaça trabalhou com a ferramenta de IA para implantar e operar uma infraestrutura que controlava oito sistemas em uma clínica odontológica e para obter acesso ao banco de dados OpenDental.



O agente de IA assumiu o papel de um “pen tester autorizado”, agindo sem isenções de segurança e salvando automaticamente todas as credenciais.

Seu arquivo de habilidades continha o manual de comando e controle (C2), completo com uma descrição da arquitetura, operações padrão, código de infecção, comandos para persistência e etapas de solução de problemas.

IA controlando a botnet

Os pesquisadores da Trend Micro dizem que o ator da ameaça usou o Gemini CLI para migrar o botnet para uma nova infraestrutura C2. A partir de uma única instrução que dizia “Estude a migração C2”, a IA processou o guia e preparou todas as etapas e códigos necessários para o processo.

A IA migrou a infraestrutura C2, cuidando da arquitetura, codificação, implantação de VPS, configuração da Cloudflare e depuração inicial em apenas seis minutos.

“A IA leu o guia de migração e preparou um pacote de migração, um pequeno arquivo de código do servidor, cargas úteis e o arquivo de habilidades. Em seguida, descompactou o pacote, lançou o servidor C&C em um VPS e abriu o túnel Cloudflare”, diz a Trend Micro.

Quando as máquinas inicialmente não conseguiram se reconectar, a IA diagnosticou tráfego conflitante entre os servidores antigos e novos e, depois que o ator desligou o servidor antigo, todos os bots se reconectaram.

Log mostrando troca com GeminiFonte: Trend Micro

Os registros diários de operações mostram que o agente da ameaça continuou a gerenciar o botnet inteiramente por meio de solicitações em linguagem natural, perguntando quais máquinas estavam online, listando arquivos em computadores específicos e gerando links de infecção.

Visão geral operacionalFonte: Trend Micro

Do ponto de vista técnico, a configuração do botnet era extremamente leve, contendo todos os componentes e instruções em três arquivos de texto simples, totalizando aproximadamente 5 KB.

Eles continham um prompt de jailbreak do Gemini, um manual C2 cobrindo infecção, persistência e solução de problemas e um guia de migração para reconstruir a infraestrutura.

O C2 usava um servidor HTTP Python na memória e agentes PowerShell que o pesquisavam a cada cinco segundos, e a persistência dependia de tarefas agendadas, eventos WMI e modificações de registro, dependendo dos privilégios.

O malware em si era pouco sofisticado, de acordo com a Trend Micro, pois não se beneficiava de mecanismos de ofuscação, empacotamento ou evasão.

Além do botnet, o ator supostamente usou IA para adivinhar senhas, gerando variantes plausíveis de senhas existentes para portais WordPress e analisando despejos de 1Password para encontrar caminhos de exploração.

Os pesquisadores dizem que este último falhou apenas porque a operação se estendeu por tempo suficiente para que a IA perdesse o controle do conceito de ataque mais amplo.

Os registros recuperados mostram que a Gemini se recusou a obedecer em pelo menos um caso, quando foi solicitada a construção de um “agente-bomba” autopropagador, mas isso simplesmente fez com que o ator da ameaça tentasse outras tarefas.

BleepingComputer entrou em contato com o Google para comentar este exemplo de abuso do Gemini CLI, mas não recebemos resposta até a publicação.







Teste todas as camadas antes que os invasores o façam

As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.

Obtenha o white paper



Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #cli #do #google #gemini #abusada #como #agente #de #hackers #e #operador #de #botnet #de #malware
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment