Sophos X-Ops chatgpt
Atualidade Cibersegurança Sophos

Sophos X-Ops: Atacantes utilizam agora chats com IA, como o ChatGPT, nos esquemas CryptoRom

  • Os atacantes também estão a recorrer a falsos ataques a contas de criptomoedas.
  • Para além disso, a Sophos encontrou sete novas aplicações falsas na Apple Store e na Google Play Store.

A Sophos, líder global em inovação e oferta de soluções de cibersegurança como serviço, divulgou novas descobertas sobre esquemas CryptoRom – fraudes financeiras elaboradas que atacam e enganam utilizadores de aplicações de encontros para que façam investimentos falsos em criptomoedas – no seu mais recente relatório, “Sha Zhu Pan Scam Uses AI Chat Tool to Target iPhone and Android Users”. Desde maio, a equipa Sophos X-Ops tem visto que os atacantes de CryptoRom estão a aperfeiçoar as suas técnicas, incluindo a adição de uma ferramenta de chat com Inteligência Artificial (IA), como o ChatGPT, ao seu conjunto de ferramentas. Também têm ampliado as suas táticas de coerção, dizendo às vítimas que as suas contas de criptomoedas foram atacadas e que têm de fazer um pagamento inicial superior.

A Sophos X-Ops descobriu ainda que os atacantes conseguiram introduzir sete novas aplicações falsas de investimento em criptomoedas nas lojas oficiais da Apple e Google Play, aumentando o potencial de mais vítimas as descarregarem.

Em 2022, as fraudes de investimento foram as que causaram as maiores perdas, entre todos os ataques reportados pelo público ao Internet Crimes Complaint Center (IC3) do FBI nos EUA, totalizando 3 mil milhões de euros ($3.31b) apenas naquele país. As fraudes com criptomoedas, incluindo os esquemas CryptoRom, representaram a maioria destes ataques, tendo aumentando 183% desde 2021 para 2.33 mil milhões de euros ($2.57b) em perdas reportadas no ano passado.

A equipa da Sophos X-Ops descobriu que os atacantes de CryptoRom utilizavam esta ferramenta de chat com IA – muito provavelmente o ChatGPT – quando foi contactada por uma das vítimas enganadas. Depois de falar com a vítima no Tandem, uma aplicação de partilha de idiomas que também tem sido utilizada como aplicação de encontros, o atacante convenceu-a a passar a conversar no WhatsApp. A vítima ficou desconfiada depois de ter recebido uma mensagem longa, em parte claramente escrita por uma ferramenta de chat com IA, utilizando um modelo de linguagem grande (LLM, na sua sigla em inglês).

“Desde que a OpenAI anunciou o lançamento do ChatGPT, tem havido ampla especulação de que os cibercriminosos poderiam utilizar o programa para as suas atividades maliciosas. Podemos agora dizer que, pelo menos no caso dos esquemas de CryptoRom, isso está de facto a acontecer. Um dos principais desafios para os atacantes é conseguir ter conversas de natureza romântica com as vítimas que sejam convincentes e prolongadas; estas conversas são, na sua maioria, escritas por ‘keyboarders’, que estão principalmente baseados na Ásia e têm barreiras linguísticas. Utilizar uma ferramenta como o ChatGPT pode ser uma forma mais eficiente e eficaz de manter estas conversas, tornando as fraudes menos trabalhosas e mais autênticas. Também permite que os ‘keyboarders’ se envolvam com várias vítimas ao mesmo tempo,” afirmou Sean Gallagher, Principal Threat Researcher da Sophos.

A Sophos X-Ops também descobriu um novo esquema que visa extorquir ainda mais dinheiro. Tradicionalmente, quando as vítimas dos golpes CryptoRom tentam levantar os “lucros” dos seus investimentos, os burlões dizem-lhes que precisam de pagar um imposto de 20% sobre os fundos antes de completarem qualquer levantamento. No entanto, uma vítima recente revelou que, depois de pagar o “imposto” para levantar o dinheiro, lhe foi dito que os fundos tinham sido ‘hackeados’ e que precisaria de realizar outro depósito de 20% antes de os poder receber.

Após uma investigação mais aprofundada, a Sophos X-Ops encontrou sete aplicações falsas de investimento em criptomoedas nas lojas oficiais da Apple e Google Play. Estas apps têm descrições aparentemente inócuas (a BerryX, por exemplo, afirma estar relacionada com leitura). No entanto, assim que os utilizadores as abrem, deparam-se com uma falsa interface de negociação de criptomoedas.

Para ultrapassar o processo de revisão da App Store da Apple, os programadores de aplicações utilizam a mesma técnica que a Sophos referiu pela primeira vez em fevereiro de 2023: submetem a aplicação para aprovação utilizando conteúdo web legítimo e comum; e, assim que estiver aprovada e publicada, modificam o servidor que aloja a aplicação com o código para a interface fraudulenta.

Muitas destas novas aplicações agora descobertas reciclaram os mesmos modelos e descrições, o que sugere que o mesmo ou as mesmas organizações criminosas estão a criar este esquema.

“Antes de conseguirem colocar as suas aplicações na Apple Store, os autores de fraudes CryptoRom tinham de encontrar uma solução técnica difícil para atingirem os utilizadores de iOS, o que poderia alertar as vítimas de que algo estava errado. Agora, é muito mais fácil chegarem aos utilizadores de iPhone, expandindo o seu leque de vítimas. Estas aplicações são também fáceis de reciclar e reutilizar – de facto, a BerryX parece estar relacionada com as aplicações falsas que descobrimos e bloqueámos no início deste ano. Embora tenhamos alertado a Google e a Apple em relação a estas aplicações mais recetes, é provável que surjam mais; estes burlões são implacáveis. Neste momento estão a dizer às vítimas que as suas contas foram ‘hackeadas’ para lhes extorquir mais dinheiro, mas no futuro é provável que pensem em novos métodos de extorsão inicial e dupla. A melhor defesa contra estas campanhas é a sensibilização para a sua existência. Encorajamos os utilizadores que tenham suspeitas ou pensem que podem ter sido vítimas a contactar-nos,” explicou Sean Gallagher.

Este e outros artigos do mundo da cibersegurança, disponíveis no nosso blog.

×