Código HTML do Conteúdo
Post: Primeiro malware com GPT-4 integrado descoberto: chega o MalTerminal - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default">
<div>
<div>
<p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:22 Setembro 2025 15:52</b></span></p>
<p><strong>SentinelLABS</strong> pesquisadores descobriram o que descrevem como o <strong>primeiro exemplo conhecido de malware com funcionalidade LLM integrada</strong> Apelidado <em>Terminal Maligno</em> . A descoberta foi apresentada em <strong>LABScon 2025</strong> , onde uma grande variedade de artefatos foi exibida: um binário do Windows, vários scripts Python e ferramentas auxiliares demonstrando como <strong>GPT-4 foi explorado para gerar código malicioso dinamicamente</strong> , como ransomware ou shells reversos.</p>
<p>A amostra analisada continha um endpoint de API referente ao antigo <strong>Conclusões de bate-papo OpenAI</strong> serviço, que foi desativado em novembro de 2023. Isso sugere que <em>Terminal Maligno</em> foi desenvolvido antes dessa data, tornando-se um <strong>Exemplo inicial de malware</strong> com LLM incorporado. Ao contrário do malware tradicional, parte de sua lógica não é pré-compilada, mas é <strong>criado em tempo de execução</strong> via consultas GPT-4: o operador pode escolher entre os modos “criptografador” ou “shell reverso”, e o modelo gera o código correspondente em tempo real.</p>
<p>Dentro do kit, os pesquisadores também encontraram scripts que replicavam o comportamento do binário, bem como um <strong>Scanner de segurança baseado em LLM</strong> , capaz de avaliar arquivos Python suspeitos e produzir relatórios: um exemplo claro do <strong>Uso duplo</strong> de modelos generativos, aplicáveis tanto para fins ofensivos quanto defensivos.</p>
<p><a href="https://www.sentinelone.com/labs/prompts-as-code-embedded-keys-the-hunt-for-llm-enabled-malware/?utm_source=Securitylab.ru" target="_blank">Os autores</a> também demonstrou uma nova metodologia para detectar malware LLM, com base em <strong>Artefatos de integração inevitáveis</strong> : chaves de API incorporadas e prompts codificados. Ao analisar prefixos de chave (por exemplo, <em>sk-ant-api03</em> ) e fragmentos reconhecíveis relacionados à OpenAI, eles desenvolveram regras eficazes para retrocesso em larga escala. Uma análise de um ano sobre o VirusTotal revelou <strong>milhares de arquivos contendo chaves</strong> , variando de vazamentos acidentais de desenvolvedores a amostras maliciosas. Paralelamente, eles testaram uma técnica de pesquisa baseada em prompt: extrair strings de texto de arquivos binários e avaliar sua intenção usando <strong>classificação LLM leve</strong> , que se mostrou altamente eficaz na detecção de ferramentas anteriormente invisíveis.</p>
<p>O estudo destaca um paradoxo crucial: o uso de um modelo externo oferece flexibilidade e adaptabilidade aos invasores, mas também introduz <strong>Vulnerabilidades</strong> . Sem chaves de API válidas ou prompts armazenados, o malware perde muito de sua eficácia. Isso abre novos caminhos defensivos, como a busca por “prompts como código” e chaves incorporadas, especialmente nos estágios iniciais da evolução dessas ameaças.</p>
<p>Até o momento, não há evidências de <em>Terminal Maligno</em> amplamente implantado: pode ser um <strong>prova de conceito</strong> ou uma ferramenta de equipe vermelha. No entanto, a técnica em si representa uma mudança de paradigma, impactando <strong>assinaturas, análise de tráfego e atribuição de ataque</strong> .</p>
<p>O SentinelLABS recomenda prestar maior atenção à análise de aplicativos e repositórios: além de bytecodes e strings, agora é essencial procurar <strong>Rastreamentos textuais, estruturas de mensagens e artefatos relacionados a modelos de nuvem</strong> , onde os mecanismos de malware de próxima geração podem ser ocultados.</p>
<p>Os autores concluem enfatizando que a integração de geradores de comandos e lógica de tempo de execução <strong>enfraquece os detectores tradicionais</strong> e complica significativamente a atribuição de ataques, abrindo um novo capítulo na luta entre a defesa cibernética e o crime cibernético.</p>
<div>
<div>
<div>
<div>
<p><b><span>Redação</span></b><br /><span>A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.</span></p>
<p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div></div>