Các chuyên gia an ninh mạng vừa phát hiện hai biến thể nâng cấp của công cụ tấn công WormGPT, lần này được xây dựng dựa trên mô hình ngôn ngữ Grok của xAI và Mixtral của Mistral AI. Đây là minh chứng cho xu hướng tội phạm mạng đang tận dụng các mô hình AI tiên tiến để vượt qua các giới hạn bảo mật truyền thống.
Biến thể keanu-WormGPT sử dụng API của Grok cùng với các đoạn lệnh được thiết kế để vượt qua rào cản đạo đức, cho phép sinh mã độc trực tiếp như script PowerShell thu thập thông tin đăng nhập, keylogger, email lừa đảo dạng BEC với kỹ thuật che giấu HTML, và mã độc biến hình dựa trên base64. Trong khi đó, xzin0vich-WormGPT khai thác kiến trúc nội bộ của Mixtral, được xác định thông qua các cấu hình hệ thống bị rò rỉ.
Cả hai biến thể đều hoạt động thông qua bot Telegram với hơn 7.500 người dùng, và cung cấp dịch vụ bằng hình thức trả phí qua tiền mã hóa. Người dùng chỉ cần truy cập, nhập prompt và nhận lại các đoạn mã phục vụ cho các chiến dịch tấn công mạng.
Phân tích kỹ thuật cho thấy những công cụ này có thể tạo ra email phishing tinh vi dưới dạng HTML nhúng mã độc, hoặc tạo các script PowerShell giả mạo thông báo cập nhật hệ thống để đánh cắp thông tin người dùng. Tính năng tự động hóa và cấu trúc linh hoạt khiến chúng cực kỳ nguy hiểm trong tay các đối tượng xấu.
Theo đánh giá, cả hai biến thể mới đều nằm trong mức rủi ro cao, với khả năng lạm dụng API, tạo mã độc linh hoạt và chống phân tích rất hiệu quả. Thậm chí, phiên bản WormGPT cũ sử dụng GPT-J vẫn đang hoạt động mạnh trên dark web dưới hình thức “phishing-as-a-service”, với mức phí thuê riêng biệt lên đến 5.000 USD.
Trước tình hình đó, các chuyên gia cảnh báo cần sớm triển khai các biện pháp phòng vệ như phân tích hành vi để nhận diện nội dung do AI sinh ra, giám sát lưu lượng API bất thường, và sử dụng ngôn ngữ lập trình an toàn như Rust hoặc Go cho các hệ thống xác thực quan trọng.
