มัลแวร์ MalTerminal มีความสามารถในการใช้ GPT-4 สร้างแรนซัมแวร์เองได้

ความเก่งกาจของปัญญาประดิษฐ์ หรือ AI ที่ปัจจุบันสามารถทำงานได้หลายอย่างมาก จนหลายคนกังวลใจว่าวันหนึ่งอาจจะสามารถโจมตีมนุษย์ได้ด้วยตนเอง วันนี้ความสามารถตัวหนึ่งได้ถูกค้นพบ และอาจจะเป็นการยืนยันในความกลัวนี้ได้ในระดับหนึ่งแล้ว

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์ชนิดใหม่ชื่อ ‘MalTerminal’ ที่มีความสามารถที่เหนือชั้นอย่างที่หลายคนอาจคาดไม่ถึง นั่นคือ ความสามารถในการสั่งการให้โมเดล AI ยอดนิยมอย่าง GPT-4 เขียนโค้ดมัลแวร์ขึ้นมาได้ โดยสามารถสั่งการได้ทั้งการสร้างมัลแวร์สำหรับการเรียกค่าไถ่ หรือ Ransomware และ โค้ดสำหรับการทำ Reverse Shell (การสั่งให้เครื่องติดต่อกลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ได้เอง) โดยการตรวจพบมัลแวร์ดังกล่าวนั้นเป็นผลงานของทางทีมวิจัยจาก SentinelLABS บริษัทผู้เชี่ยวชาญด้านการจัดการกับการฉ้อโกงออนไลน์ ซึ่งการตรวจพบในครั้งนี้ได้ถูกบรรจุในรายงานที่มีชื่อว่า “LLM-Enabled Malware In the Wild” และได้ถูกนำเสนอในงานประชุม LABScon 2025 ของทางบริษัทอีกด้วย

ซึ่งการตรวจพบดังกล่าวนั้นเกิดขึ้นระหว่างที่ทีมวิจัยดังกล่าวกำลังวิจัย Proof-of-Concept (PoC หรือ การวิเคราะห์ความเป็นไปได้ว่าแนวคิดจะสามารถทำงานได้จริงไหม) ของทาง ESET เกี่ยวกับมัลแวร์ PromptLock ซึ่งเป็นมัลแวร์ในรูปแบบที่ใกล้เคียงกันในที่มีการใช้งาน Ollama API ในการดึงโมเดล AI แบบ LLM (Large Language Model หรือ โมเดลภาษาขนาดใหญ่) มารันบนเครื่องของเหยื่อ (Local) เพื่อสร้างมัลแวร์ในภาษา Lua แบบตามเวลาจริง (Real-Time) ทำให้สามารถสร้างมัลแวร์ที่ทำงานได้ทั้งบนระบบปฏิบัติการ Windows, Linux และ macOS ได้ ซึ่งตัวมัลแวร์นั้นจะถูกสร้างเพื่อขโมยข้อมูลจากเครื่องของเหยื่อ โดยข้อมูลต่าง ๆ จะถูกเข้ารหัสในรูปแบบ SPECK ขนาด 128-bit ก่อนส่งไปให้ยังแฮกเกอร์ ซึ่ง PoC ดังกล่าวนั้นทาง ESET ได้เผยแพร่ในช่วงเดือนสิงหาคมที่ผ่านมา และทาง SentinelLABS ก็ได้นำมาวิเคราะห์ วิจัยต่อ จนนำไปสู่การค้นพบมัลแวร์ ‘MalTerminal’ ซึ่งที่แตกต่างจากมัลแวร์ PromptLock ก็คือ มัลแวร์ตัวนี้มีการใช้งานโดยกลุ่มแฮกเกอร์อยู่แล้ว

ภาพจาก : https://cybersecuritynews.com/first-ever-ai-powered-malterminal-malware/

หลังจากที่ทางทีมวิจัยได้ตรวจพบมัลแวร์ดังกล่าว ทางทีมวิจัยได้ใช้เทคนิคในการตรวจสอบมัลแวร์ดังกล่าวด้วยการเขียน YARA Rule เพื่อใช้ในการค้นหากุญแจ (Key) API ที่จากไฟล์สำหรับรันมัลแวร์ MalTerminal.exe ซึ่งทางทีมจะตรวจสอบว่าตัวมัลแวร์นั้นมีการใช้งาน AI ตัวใดในการเขียนมัลแวร์ขึ้นมา ซึ่งทางทีมวิจัยได้พบว่าตัวมัลแวร์นั้นได้มีการใช้ OpenAI API ซึ่งเป็น API ในการใช้งาน ChatGPT

โดยหลังจากที่มัลแวร์ดังกล่าวนั้นถูกรันขึ้นมา ตัวมัลแวร์จะทำการถามแฮกเกอร์ที่ใช้งานว่า จะต้องการสร้าง Ransomware หรือสร้างโค้ด Reverse Shell โดยหลังจากที่แฮกเกอร์ได้เลือกเสร็จแล้ว ตัวมัลแวร์ก็จะทำการส่ง Requests ผ่านทาง API ไปยัง GPT-4 เพื่อสร้างโค้ดมัลแวร์บนภาษา Python ขึ้นมาในช่วง Runtime โดยส่วนของตรรกะ หรือ Logic การสั่งนั้นไม่ได้ถูกบรรจุไว้ในไฟล์มัลแวร์ดังกล่าว ทำให้เครื่องมือวิเคราะห์ หรือตรวจจับมัลแวร์แบบค่าคงที่ (Static Analysis) ไม่สามารถตรวจจับได้ นอกจากนั้นทางทีมวิจัยยังได้มีการตรวจพบสคริปท์ของมัลแวร์ตัวดังกล่าวในรุ่นแรก ๆ ที่มีชื่อว่า TestMal2.py และเครื่องมือป้องกัน และตรวจจับมัลแวร์ที่มีชื่อว่า ‘FalconShield’ ซึ่งถูกสร้างโดยผู้สร้างรายเดียวกัน (โดยทางทีมวิจัยไม่ได้ระบุว่า ถูกสร้างขึ้นมาเพื่อใช้งานในการป้องกันตัวเองจากมัลแวร์ที่เป็นประเด็นอยู่หรือไม่)

ทางทีมวิจัยไม่ได้มีการเปิดเผยว่า แฮกเกอร์รายใด หรือ กลุ่มใดที่อยู่เบื้องหลังมัลแวร์ดังกล่าว รวมไปถึงไม่มีการรายงานว่า มีผู้ตกเป็นเหยื่อมัลแวร์ดังกล่าวแล้วกี่ราย