HP interceptó una campaña de correo electrónico que contenía una carga útil de malware estándar entregada por un cuentagotas generado por IA. El uso de gen-IA en droppers es definitivamente un paso evolutivo hacia cargas útiles de malware generadas por IA verdaderamente nuevas.
En junio de 2024, HP descubrió correos electrónicos de phishing que contenían señuelos comunes con temas de facturas y archivos adjuntos HTML cifrados. En otras palabras, es un contrabandista de HTML para evitar la detección. No hay nada nuevo excepto el cifrado. Los atacantes de phishing suelen enviar archivos cifrados a sus objetivos. “En este caso, el atacante implementó una clave de descifrado AES en JavaScript dentro del archivo adjunto”, explica Patrick Schlapfer, investigador principal de amenazas de HP. “Esto no es común y es la razón principal por la que lo investigamos en detalle”, informa ahora HP sobre su investigación detallada.
El archivo adjunto descifrado se abre con la apariencia de un sitio web, pero incluye VBScript y el ladrón de información AsyncRAT disponible gratuitamente. VBScript es un cuentagotas para cargas útiles de robo de información. Escribe varias variables en el registro y coloca archivos JavaScript en el directorio de usuarios. Este archivo luego se ejecutará como una tarea programada. Se crea un script de PowerShell que finalmente ejecuta la carga útil de AsyncRAT.
Todo esto es bastante estándar excepto por una cosa. “VBScript estaba bien estructurado y todos los comandos importantes estaban comentados, lo cual es inusual”, añadió Schlapfer. El malware suele ocultarse sin comentarios. Esto fue todo lo contrario. El script también fue escrito en francés, que, si bien es funcional, no es el idioma comúnmente elegido por los autores de malware. Estas pistas llevaron a los investigadores a creer que el guión no fue escrito por humanos, sino que fue escrito por gen-IA para humanos.
Probaron esta teoría utilizando su propia generación de IA para crear un guión con una estructura y comentarios muy similares. Aunque los resultados no son una prueba absoluta, los investigadores confían en que este malware cuentagotas fue creado por gen-AI.
Pero todavía es un poco extraño. ¿Por qué no se ofuscó? ¿Por qué el atacante no eliminó el comentario? ¿Se implementó también el cifrado con ayuda de la IA? La respuesta puede estar en la opinión predominante sobre la amenaza de la IA: que reduce la barrera de entrada para nuevos participantes malintencionados.
“Normalmente, cuando evaluamos un ataque, nos fijamos en las habilidades y recursos necesarios”, explica Alex Holland, investigador principal de amenazas en Schlapfer. “En este caso, los recursos necesarios son mínimos. La carga útil, AsyncRAT, está disponible de forma gratuita. El contrabando de HTML no requiere experiencia en programación más que un único servidor C&C para controlar el ladrón de información. Es básico y no ofuscado, lo que significa que es un ataque de bajo nivel”.
Esta conclusión fortalece la posibilidad de que el atacante sea un recién llegado al uso de gen-AI, y tal vez porque el atacante es un recién llegado, el script de generación de AI no se confundió y se comentó completamente refuerza la posibilidad de que. Sin comentarios, es casi imposible saber si un script está generado por IA o no.
Surge una segunda pregunta. Suponiendo que este malware fue generado por un atacante sin experiencia que dejó pistas del uso de la IA, ¿es posible que la IA esté siendo utilizada más ampliamente por atacantes más experimentados que no dejan tales pistas? Existe una posibilidad. De hecho, es muy probable, pero casi imposible, de detectar o probar.
anuncio publicitario. Desplácese para continuar leyendo.
“Sabemos desde hace algún tiempo que la IA genética se puede utilizar para generar malware”, dijo Holland. “Pero aún no se han encontrado pruebas concluyentes. Ahora tenemos datos que muestran que los delincuentes en realidad están utilizando IA”. Este es otro paso en el camino hacia lo que esperamos que sea más que simples cuentagotas: nuevas cargas útiles generadas por IA.
“Creo que es muy difícil predecir cuánto tiempo llevará esto”, continuó Holland. “Sin embargo, dadas las capacidades de rápido crecimiento de la tecnología gen-IA, esta no es una tendencia a largo plazo. Si tuviéramos que dar una fecha, definitivamente sucedería dentro de los próximos dos o tres años”.
Con el debido respeto a la película de 1956 The Body Snatchers, estamos tentados a decir: “¡Ya están aquí! ¡Tú eres el próximo! ¡Tú eres el próximo!”.
Relacionado: Cyber Insights 2023 Inteligencia artificial |
Relacionado: El uso criminal de la IA va en aumento, pero va por detrás de sus defensores
Relacionado: Prepárese para la primera ola de malware de IA
https://www.securityweek.com/ai-generated-malware-found-in-the-wild/