Dado que aparentemente todos los días surgen nuevos troyanos y estafas de phishing, los equipos de TI y de ciberseguridad tienen el desafío de familiarizarse con las nuevas amenazas. El malware polimórfico está en aumento, pero existe desde hace un tiempo. ¿Qué tiene que ver la inteligencia artificial (IA) con esto y cómo cambia el juego para los profesionales?
¿Qué es el malware polimórfico?
El malware polimórfico modifica el código de un programa cuando se implanta en un objetivo. Pueden tomar la forma de virus, bots y todo lo demás. Otro método, el malware metamórfico, funciona de manera similar. Sin embargo, las variantes polimórficas utilizan claves de cifrado variables, mientras que el malware metamórfico no. Este tipo de ataque recibe su nombre porque su apariencia y firma cambian constantemente, lo que dificulta su aislamiento.
La estructura del malware polimórfico es sencilla, aunque su naturaleza cambia constantemente. El malware polimórfico tiene código malicioso que cambia de forma. Esto va acompañado de otro código estático que cifra y descifra permanentemente la parte maliciosa. Cuando los analistas intentan encontrar código polimórfico, buscan este aspecto inmutable del código para encontrar secciones que cambien.
¿Cuáles son algunos ejemplos recientes de malware polimórfico?
VIRLOCK: convierte archivos infectados en malware polimórfico que infecta el almacenamiento en la nube y las aplicaciones conectadas. URSNIF: se infiltra en las máquinas a través de correos electrónicos de phishing y enlaces maliciosos. VOBFUS: infecta periféricos extraíbles conectados a hardware infectado y se duplica.
¿Cómo ha cambiado el juego la IA generativa?
Las formas generativas de IA son un lugar perfecto para que se propague el malware polimórfico. Las amenazas de IA son una preocupación importante en la ciberseguridad, especialmente cuando surgen ejemplos de código contaminado del mensaje promedio. Tanto los programadores aficionados como los profesionales pueden quedar expuestos al malware si el material generado por IA no se verifica.
Si bien la IA ha ayudado con frecuencia a generar código benigno, en 2023 los expertos descubrieron que se podía crear malware polimórfico dentro de ChatGPT. Los investigadores han descubierto una forma de activar la IA generativa sin solicitar explícitamente contenido malicioso. Con aportes creativos, se podrían generar muchas mutaciones de resultados dañinos con poca resistencia.
Esta prueba demostró que los avisos explotadores y peligrosos se pueden disfrazar fácilmente proporcionando avisos en un orden inusual o solicitando código en combinaciones no intuitivas. Otros investigadores han ido un paso más allá y han creado una prueba de concepto llamada BlackMamba para revelar cómo la IA generativa puede facilitar la propagación de malware polimórfico.
BlackMamba se comunica con la API de OpenAI de una manera que dificulta la detección de su intención. Luego genera un registrador de teclas y altera las pulsaciones de teclas del usuario objetivo en una ubicación inesperada: Microsoft Teams. Esta es una aplicación que nuestros evaluadores utilizaron para ver lo fácil que era extraer información de una fuente de mensaje y tuvo éxito sin generar ninguna alerta. Esta prueba de concepto muestra cómo los ciberdelincuentes pueden crear ciclos automatizados de producción de malware polimórfico.
¿Cómo pueden los analistas protegerse contra el malware polimórfico?
Los analistas pueden responder al malware polimórfico utilizando estrategias de defensa comunes, así como varias estrategias cuidadosamente seleccionadas para esta variante de amenaza en particular.
Utilice herramientas de detección de malware
Hay una variedad de software disponible para ayudar a automatizar la respuesta a incidentes y la detección de malware. Normalmente existen tres tipos de herramientas de análisis: estáticas, dinámicas e híbridas. Cada uno tiene especialidades como la eliminación de nombres de archivos y la ingeniería inversa de software malicioso. Muchos programas tienen funciones de detección e identificación basadas en el comportamiento que analizan a los usuarios y sus interacciones en busca de anomalías que el software podría considerar anormales.
Adopte una arquitectura de privilegios mínimos y confianza cero (ZTA)
ZTA a menudo emplea prácticas de privilegios mínimos para minimizar el acceso a redes seguras. La filosofía de ZTA de evitar el acceso inmediato de usuarios no autorizados se ve reforzada por estrategias prácticas como los controles basados en roles, que limitan el alcance de los datos a los que los usuarios pueden acceder. Los sistemas críticos para el negocio y la información confidencial deben mantenerse detrás de puertas digitales, y solo unas pocas personas o una persona tienen la llave.
Aproveche la detección y respuesta de endpoints (EDR)
EDR analiza un dispositivo o punto final específico en tiempo real. EDR proporciona un seguimiento continuo e identifica los tipos de amenazas y su frecuencia. Almacena un registro de cada intento en un registro seguro, lo que permite a los analistas investigar cada instancia. EDR aumenta el conocimiento de su equipo sobre el alcance y el tipo de ataques.
mantenerse actualizado
Muchas infracciones se producen porque los piratas informáticos descubren puertas traseras o vulnerabilidades en software obsoleto o sistemas descuidados. Aproximadamente el 91% de las empresas tienen aplicaciones vulnerables y el 57% de estos problemas siguen sin solucionarse.
Los equipos deben actualizar periódicamente tantos activos como sea posible para maximizar sus posibilidades de estar protegidos contra el malware polimórfico. También puede investigar proveedores externos para ver qué servicios ofrecen con sus productos y si son suficientes para cumplir con sus estándares de seguridad.
Adaptarse al malware adaptativo
El malware polimórfico es rico en recursos y flexible, se adapta a su entorno y penetra en tantos sistemas como sea posible. Sin embargo, tanto los analistas como las organizaciones deben estar familiarizados con estas amenazas. Especialmente en el caso de la IA generativa, una vez que se encuentran vulnerabilidades, el malware se vuelve más sofisticado y difícil de recuperar. Comience a implementar medidas ahora para protegerse contra estas amenazas únicas antes de que aparezcan repentinamente.
