Los cuerpos de Infosec han detallado una herramienta clandestina de ciberseguridad denominada Predator AI que no solo puede usarse para comprometer servicios en la nube y aplicaciones web mal seguros, sino que también tiene un asistente de chat-bot opcional que solo funciona un poco. El software multipropósito no es del todo novedoso; hay otros similares; y aunque supuestamente se ofrece sólo con fines educativos, los malhechores pueden utilizarlo para atacar los despliegues de otras personas. También podría ser utilizado por tipos de TI para probar su infraestructura en busca de agujeros. Aparentemente, Predator AI está programado para poder explotar 30 tipos de servicios y tecnologías basados ​​en web mal configurados o mal configurados, que van desde el servicio de correo electrónico simple de Amazon Web Services, Twilio y WordPress hasta OpenCart, Magento, OneSignal, Stripe y PayPal. , explicó el miércoles el experto de SentinelLabs, Alex Delamotte. Su asistente de chat-bot opcional, parcialmente impulsado por ChatGPT de OpenAI, probablemente sólo sea «algo funcional» en este momento, añadió Delamotte. Esta característica particular, que le permite hacer preguntas a la herramienta sobre su funcionamiento y potencialmente realizar acciones, aún no se anuncia en el canal principal de Telegram de la herramienta. Dicho esto, se nos dice que está en desarrollo activo y sus creadores publican videos del mismo en acción y aceptan solicitudes de funciones. No estaría de más echar un vistazo a las capacidades del software y asegurarse de que sus aplicaciones web y su infraestructura en la nube estén completamente protegidas contra las técnicas de la herramienta. Puede ser que Predator utilice código y métodos que se encuentran en otros kits de herramientas. «Los ataques a aplicaciones web de Predator buscan debilidades, configuraciones erróneas o vulnerabilidades comunes en Cross Origin Resource Sharing (CORS), configuración expuesta de Git, PHPUnit Remote Code Execution (RCE), Structured Query Language (SQL) y Cross-Site Scripting (XSS). «, escribió Delamotte. Predator, escrito en Python, tiene más de 11.000 líneas de código y proporciona una interfaz gráfica de usuario basada en Tkinter que requiere varios archivos de configuración JSON. El script define 13 clases que se correlacionan con las diversas características secundarias del malware, así como con su funcionalidad maliciosa principal. Estas características secundarias incluyen cosas como crear ejecutables de malware de Windows para robar información; usar comandos de Windows que verifican si el usuario actual se está ejecutando como administrador; elaborar mensajes de error falsos para probar la explotación XSS en sistemas Windows; y traducir cuadros de diálogo y elementos de menú al árabe, inglés, japonés, ruso y español. El malware configurable de recolección de datos que Predator puede crear puede usar Discord o Telegram con fines de comando y control, y un video publicado por su desarrollador el mes pasado afirmó que el código es «totalmente indetectable». SentinelLabs, sin embargo, dijo que «no pudo utilizar esta función con éxito porque los archivos de configuración necesarios no estaban disponibles». Luego está la clase GPTj, que utiliza ChatGPT para proporcionar un asistente basado en texto: las consultas se escriben en la GUI, que muestra la respuesta. El script primero intentará manejar una solicitud enviada por un usuario por sí mismo internamente: hay más de 100 casos de uso que puede reconocer y llevar a cabo por sí mismo o a través de un servicio de terceros, antes de intentar usar una API ChatGPT remota para comprender el pedido. Esta clase contiene «varias utilidades parcialmente implementadas relacionadas con AWS SES y Twilio, así como utilidades para obtener información sobre direcciones IP y números de teléfono», según SentinelLabs. El alcance de las capacidades de GPTj no está del todo claro: parece que ChatGPT se usa para manejar preguntas básicas sobre la herramienta, y las acciones en realidad son manejadas por el propio script cuando reconoce solicitudes de una lista codificada. Podríamos estar equivocados; De todos modos, esto podría cambiar con el tiempo. Uno pensaría que OpenAI tendría barreras de seguridad para evitar que la cosa haga o diga algo problemático. Les da a los desarrolladores de Predator una razón para ponerle IA al nombre. «El actor diseñó Predator AI para intentar encontrar una solución local primero antes de consultar la API OpenAI, lo que reduce el consumo de API», explicó Delamotte. «Esta clase busca en la entrada del usuario cadenas asociadas con un caso de uso conocido centrado en una de las aplicaciones web y herramientas de piratería de servicios en la nube de Predator». Para mantener la apariencia de que se trata de software legítimo, el código «tiene un descargo de responsabilidad que dice que la herramienta tiene fines educativos y que el autor no tolera ningún uso ilegal», dijo Delamotte. Eso servirá en el tribunal. ®

Source link