.png)
há 1 mês
16
A empresa Straiker, especializada em soluções de cibersegurança baseadas em IA, publicou no dia 11 de Setembro um relatório sobre uma nova ferramenta de pentest, chamada Villager, que seus pesquisadores descrevem como “a sucessora de IA do Cobalt Strike”. A ferramenta já foi baixada aproximadamente 10.000 vezes desde seu lançamento, em julho deste ano. O pacote, disponível no Python Package Index, parece ligado a uma empresa chinesa chamada Cyberspike.
Leia também
Pentest em Aplicações Web, o livro
IBM abre plataforma para testes de processamento criptografado
Operando como um cliente do Protocolo de Contexto de Modelo (MCP), o Villager integra diversas ferramentas de segurança, incluindo muitas do Kali Linux e centenas de outras utilidades para lançar ciberataques em grande escala. O arsenal inclui modelos DeepSeek AI para automatizar fluxos de trabalho de testes e uma vasta base de dados com 4.201 prompts de sistemas de IA, desenvolvidos para gerar exploits e mecanismos que dificultam a detecção. Sua natureza totalmente automatizada permite o uso malicioso mesmo sem a necessidade de expertise técnica.
Os pesquisadores contabilizaram uma média de 200 downloads a cada três dias durante sua investigação, num total de 9.952 ações, para os sistemas operacionais Linux, macOS e Windows. Eles rastrearam a ferramenta de teste de penetração impulsionada por IA até a organização chinesa Cyberspike.
Segundoo a investigação, a Cyberspike surgiu em novembro de 2023, quando seu domínio, cyberspike[.]top, foi registrado sob a Changchun Anshanyuan Technology Co., empresa listada como provedora de software de IA e aplicativos. Contudo, essa companhia não parece ter um site ou outras evidências que sugiram ser um negócio legítimo. Além disso, uma linha de produtos anterior da Changchun Anshanyuan, também chamada Cyberspike, foi carregada no VirusTotal em dezembro de 2023. Após análise dos binários, os pesquisadores descobriram que o pacote de software Cyberspike estava integralmente ligado ao AsyncRAT, um trojan de acesso remoto com capacidades para acesso remoto a desktops, comprometimento de contas Discord, registro de teclas, sequestro de webcam e outras funções de vigilância. Regalado e Rousseau afirmaram que a Cyberspike integrou o AsyncRAT em seu produto de “red teaming”, adicionando plugins para conhecidas ferramentas de hacking como o Mimikatz, demonstrando como repackageou ferramentas ofensivas em uma estrutura pronta para uso, destinada a testes de penetração e, provavelmente, operações maliciosas.
O criador do Villager, parece ser @stupidfish001, um ex-jogador de “capture the flag” (CTF) da equipe chinesa HSCSEC. Competir nessas arenas na China é visto como uma forma de recrutamento e treinamento para hackers talentosos, visados por agências de inteligência e cibersegurança de Pequim. A ferramenta em si facilita ataques, seja a uma única aplicação web — ajustando exploits com IA ao detectar, por exemplo, WordPress para lançar WPScan — ou desenvolvendo cadeias de ataque mais complexas, como a descoberta de vulnerabilidades de poluição de protótipo no lado do cliente, execução direta de código especializado, monitoramento de tráfego de rede e implantação de mecanismos de persistência. Para garantir a evasão, o Villager configura um contêiner com um recurso de autodestruição de 24 horas para apagar registros de atividade e evidências forenses do software.
English (US) · 
Portuguese (BR) ·