Malware de inteligencia artificial generativa utilizado en ataques de phishing
Pierluigi Paganini 24 de septiembre de 2024
Los investigadores de HP detectaron un gotero generado por un servicio de inteligencia artificial generativa y utilizado para entregar el malware AsyncRAT.
Mientras investigaban los correos electrónicos maliciosos, los investigadores de HP descubrieron malware generado por un servicio de inteligencia artificial generativa y utilizado para entregar el malware AsyncRAT.
El malware generado por IA fue descubierto en junio de 2024. Los mensajes de phishing utilizaban señuelos con temas de facturas y archivos adjuntos HTML cifrados, y aprovechaban el contrabando de HTML para evadir la detección. El método de cifrado se destacó porque el atacante incorporó una clave de descifrado AES en JavaScript dentro del archivo adjunto. Esto es inusual. Una vez descifrado, el archivo adjunto imita un sitio web pero contiene VBScript que actúa como un cuentagotas para el ladrón de información AsyncRAT. VBScript modifica el registro, descarta un archivo JavaScript que se ejecuta como una tarea programada y crea un script de PowerShell que activa la carga útil de AsyncRAT.
El análisis del código reveló que los actores de amenazas detrás de esta campaña comentaron casi todo el código. Esto es inusual porque los autores de malware suelen intentar dificultar el análisis de su código malicioso.
!Curiosamente, cuando analizamos VBScript y JavaScript, nos sorprendió descubrir que el código no estaba ofuscado. De hecho, los atacantes dejaron comentarios a lo largo del código, explicando qué hacía cada línea, incluso en funciones simples. Los comentarios de código genuinos rara vez quedan atrás en el malware, ya que los atacantes quieren que su malware sea lo más difícil de entender posible. ”, afirma el informe Threat Insights del segundo trimestre de 2024 de HP. “Con base en la estructura de los scripts, los comentarios consistentes en cada función y la selección de nombres y variables de funciones, creemos que los atacantes probablemente desarrollaron estos scripts usando GenAI (T1588.007). Esta actividad muestra que GenAI está acelerando y reduciendo los ataques. los obstáculos para que los ciberdelincuentes infecten los puntos finales”.
Los actores de amenazas utilizan IA generativa para crear cebos para estafas de phishing, pero rara vez se utiliza para crear código malicioso. El caso descrito por HP destaca cómo la IA generativa está acelerando los ciberataques y facilitando a los delincuentes el desarrollo de malware.
“La estructura del script, los comentarios y la selección de nombres de funciones y variables fueron fuertes pistas de que el actor de la amenaza utilizó GenAI para crear el malware (T1588.007)”, concluye el informe. “Esta actividad muestra que GenAI está acelerando los ataques y bajando el listón para que los ciberdelincuentes infecten los puntos finales”.
Síguenos en Twitter: @Problema de seguridad Facebook y Mastodonte
Pierluigi Paganini
(SecurityAffairs – Hacking, malware generativo de inteligencia artificial)
A generative artificial intelligence malware used in phishing attacks
