Hackers han comenzado a utilizar la IA para crear malware

Investigadores de HP encontraron un programa de malware escrito por IA generativa “en la naturaleza” mientras investigaban un correo electrónico sospechoso.

Los desarrolladores de malware ahora están utilizando IA generativa para acelerar el proceso de escribir código, incrementando el número de ataques mientras básicamente permiten que cualquiera con conocimientos técnicos pueda desarrollar malware.

En un informe de septiembre del equipo de seguridad Wolf de HP, HP detalló cómo descubrieron una variación del troyano de acceso remoto asíncrono (AsyncRAT), un tipo de software que puede ser utilizado para controlar de forma remota la computadora de una víctima, mientras investigaban un correo electrónico sospechoso enviado a un cliente.

Sin embargo, aunque el AsyncRAT en sí fue desarrollado por humanos, esta nueva versión contenía un método de inyección que parecía haber sido desarrollado utilizando IA generativa.

En el pasado, los investigadores han encontrado «anzuelos de phishing» con IA generativa o sitios web engañosos utilizados para atraer víctimas y estafarlas. Pero, según el informe, «ha habido pruebas limitadas de atacantes utilizando esta tecnología para escribir código malicioso en el entorno real» antes de este descubrimiento.

El programa tenía varias características que proporcionaban pruebas sólidas de que fue desarrollado por un programa de IA. Primero, casi todas las funciones estaban acompañadas de un comentario explicando qué hacían.

Los ciberdelincuentes rara vez se toman el tiempo para proporcionar notas para los lectores, ya que generalmente no quieren que el público entienda cómo funciona su código. Los investigadores también creían que la estructura del código y la “elección de nombres de funciones y variables” daban pruebas sólidas de que el código fue desarrollado utilizando IA.

El equipo descubrió por primera vez el correo electrónico cuando fue enviado a un suscriptor del software de contención de amenazas Sure Click de HP. Se hacía pasar por una factura escrita en francés, lo que indicaba que probablemente se trataba de un archivo malicioso dirigido a hablantes de francés.

Sin embargo, inicialmente no pudieron determinar qué hacía el archivo, ya que el código relevante estaba almacenado dentro de un script que solo podía ser descifrado con una contraseña. A pesar de este obstáculo, los investigadores finalmente lograron descifrar la contraseña y descifrar el archivo, lo que reveló el malware oculto en su interior.

Dentro del archivo había un script de Visual Basic (VBScript) que escribía variables en el registro de la PC del usuario, instalaba un archivo JavaScript en uno de los directorios del usuario y luego ejecutaba el archivo JavaScript. Este segundo archivo cargaba la variable desde el registro y la inyectaba en un proceso de Powershell. Luego se ejecutaron dos scripts más, lo que provocó que el malware AsyncRAT se instalara en el dispositivo.

Según el desarrollador de software de ciberseguridad Blackberry, AsyncRAT es un software lanzado a través de GitHub en 2019. Sus desarrolladores afirman que es «una herramienta legítima de administración remota de código abierto». Sin embargo, «se utiliza casi exclusivamente por actores de amenazas cibernéticas».

El software permite a sus usuarios “controlar hosts infectados de forma remota” proporcionándoles una interfaz de usuario que puede realizar tareas en la computadora de la víctima. Dado que permite a un atacante tomar el control de la computadora de una víctima, AsyncRAT puede ser utilizado para robar la clave privada o las palabras semilla de un usuario de criptomonedas, lo que podría provocar la pérdida de fondos.

Aunque AsyncRAT en sí no es nuevo, esta variación particular utiliza un novedoso método de inyección, y los investigadores encontraron señales claras de código generado por IA en este método de inyección, lo que indica que esta nueva tecnología está facilitando más que nunca a los desarrolladores de malware llevar a cabo ataques.

La actividad muestra cómo la IA generativa está acelerando los ataques y reduciendo el umbral para que los ciberdelincuentes infecten puntos finales”, afirmaba el informe de HP.

Los investigadores de ciberseguridad aún están lidiando con los efectos del avance de la IA en la seguridad. En diciembre, algunos usuarios de ChatGPT descubrieron que se podía usar para descubrir vulnerabilidades en contratos inteligentes.

Como muchos en la comunidad cripto notaron en ese momento, esto podría hacer que el programa de IA sea una herramienta útil para hackers de sombrero blanco, pero también podría permitir a hackers malintencionados encontrar vulnerabilidades que explotar.

En mayo de 2023, el departamento de seguridad de Meta publicó un informe advirtiendo que algunos operadores de malware estaban creando versiones falsas de populares programas de IA generativa y usándolos como anzuelos para atraer a las víctimas.

Investigadores de HP encontraron un programa de malware escrito por IA generativa “en la naturaleza” mientras investigaban un correo electrónico sospechoso.

Los desarrolladores de malware ahora están utilizando IA generativa para acelerar el proceso de escribir código, incrementando el número de ataques mientras básicamente permiten que cualquiera con conocimientos técnicos pueda desarrollar malware.

En un informe de septiembre del equipo de seguridad Wolf de HP, HP detalló cómo descubrieron una variación del troyano de acceso remoto asíncrono (AsyncRAT), un tipo de software que puede ser utilizado para controlar de forma remota la computadora de una víctima, mientras investigaban un correo electrónico sospechoso enviado a un cliente.

Sin embargo, aunque el AsyncRAT en sí fue desarrollado por humanos, esta nueva versión contenía un método de inyección que parecía haber sido desarrollado utilizando IA generativa.

En el pasado, los investigadores han encontrado «anzuelos de phishing» con IA generativa o sitios web engañosos utilizados para atraer víctimas y estafarlas. Pero, según el informe, «ha habido pruebas limitadas de atacantes utilizando esta tecnología para escribir código malicioso en el entorno real» antes de este descubrimiento.

El programa tenía varias características que proporcionaban pruebas sólidas de que fue desarrollado por un programa de IA. Primero, casi todas las funciones estaban acompañadas de un comentario explicando qué hacían.

Los ciberdelincuentes rara vez se toman el tiempo para proporcionar notas para los lectores, ya que generalmente no quieren que el público entienda cómo funciona su código. Los investigadores también creían que la estructura del código y la “elección de nombres de funciones y variables” daban pruebas sólidas de que el código fue desarrollado utilizando IA.

El equipo descubrió por primera vez el correo electrónico cuando fue enviado a un suscriptor del software de contención de amenazas Sure Click de HP. Se hacía pasar por una factura escrita en francés, lo que indicaba que probablemente se trataba de un archivo malicioso dirigido a hablantes de francés.

Sin embargo, inicialmente no pudieron determinar qué hacía el archivo, ya que el código relevante estaba almacenado dentro de un script que solo podía ser descifrado con una contraseña. A pesar de este obstáculo, los investigadores finalmente lograron descifrar la contraseña y descifrar el archivo, lo que reveló el malware oculto en su interior.

Dentro del archivo había un script de Visual Basic (VBScript) que escribía variables en el registro de la PC del usuario, instalaba un archivo JavaScript en uno de los directorios del usuario y luego ejecutaba el archivo JavaScript. Este segundo archivo cargaba la variable desde el registro y la inyectaba en un proceso de Powershell. Luego se ejecutaron dos scripts más, lo que provocó que el malware AsyncRAT se instalara en el dispositivo.

Según el desarrollador de software de ciberseguridad Blackberry, AsyncRAT es un software lanzado a través de GitHub en 2019. Sus desarrolladores afirman que es «una herramienta legítima de administración remota de código abierto». Sin embargo, «se utiliza casi exclusivamente por actores de amenazas cibernéticas».

El software permite a sus usuarios “controlar hosts infectados de forma remota” proporcionándoles una interfaz de usuario que puede realizar tareas en la computadora de la víctima. Dado que permite a un atacante tomar el control de la computadora de una víctima, AsyncRAT puede ser utilizado para robar la clave privada o las palabras semilla de un usuario de criptomonedas, lo que podría provocar la pérdida de fondos.

Aunque AsyncRAT en sí no es nuevo, esta variación particular utiliza un novedoso método de inyección, y los investigadores encontraron señales claras de código generado por IA en este método de inyección, lo que indica que esta nueva tecnología está facilitando más que nunca a los desarrolladores de malware llevar a cabo ataques.

La actividad muestra cómo la IA generativa está acelerando los ataques y reduciendo el umbral para que los ciberdelincuentes infecten puntos finales”, afirmaba el informe de HP.

Los investigadores de ciberseguridad aún están lidiando con los efectos del avance de la IA en la seguridad. En diciembre, algunos usuarios de ChatGPT descubrieron que se podía usar para descubrir vulnerabilidades en contratos inteligentes.

Como muchos en la comunidad cripto notaron en ese momento, esto podría hacer que el programa de IA sea una herramienta útil para hackers de sombrero blanco, pero también podría permitir a hackers malintencionados encontrar vulnerabilidades que explotar.

En mayo de 2023, el departamento de seguridad de Meta publicó un informe advirtiendo que algunos operadores de malware estaban creando versiones falsas de populares programas de IA generativa y usándolos como anzuelos para atraer a las víctimas.

Otros posts