Los investigadores de HP Wolf Security han descubierto que existe malware que parece haber sido creado por IA generativa (GenAI).
Aunque es casi seguro que actores maliciosos han estado utilizando GenAI con fines nefastos, la evidencia real de esta tendencia inevitable es “limitada”, dijeron los investigadores.
Durante el segundo trimestre, HP Wolf Security observó una campaña utilizando VBScript (T1059.005) y JavaScript (T1059.007) para difundir AsyncRAT, una herramienta de acceso remoto (RAT). “Probablemente fue creado con la ayuda de GenAI”.
“La estructura del script, los comentarios y la elección de los nombres de las funciones y las variables fueron fuertes pistas de que el actor de la amenaza utilizó GenAI para crear el malware”, escribieron los investigadores. “Esta actividad muestra que GenAI está acelerando los ataques y bajando el listón para que los ciberdelincuentes infecten los puntos finales”.
“Los actores de amenazas han utilizado durante mucho tiempo la inteligencia artificial generativa (GenAI) para crear estafas de phishing convincentes, pero está claro que los actores de amenazas han utilizado esta tecnología para crear código malicioso. Hay pruebas limitadas de que así fue”.
A principios de junio, HP descubrió un archivo adjunto de correo electrónico HTML “inusual” en francés que “se hacía pasar por una factura” y requería una contraseña cuando se abría.
Cadena de infección que conduce a AsyncRAT (Imagen: HP)
El análisis inicial del código revela que se trata de una amenaza de contrabando de HTML.
“Sin embargo, a diferencia de la mayoría de las otras amenazas de este tipo, la carga almacenada en el archivo HTML no estaba cifrada dentro del archivo”, escribió HP Wolf Research. “Más bien, el archivo fue cifrado dentro del propio código JavaScript. El atacante cifró el archivo usando AES y lo implementó sin cometer ningún error. Esto significa que descifrar el archivo sólo es posible con la contraseña correcta.
Después de forzar la contraseña por fuerza bruta “dentro de un período de tiempo razonable”, los investigadores obtuvieron la contraseña y accedieron a un archivo descifrado que contenía un archivo VBScript que inicia la cadena de infección e implementa AsyncRAT al inicio.
VBScript escribe variables importantes en el registro de Windows. Esta variable se utilizará más adelante en el ataque. Luego, el archivo JavaScript se coloca en el directorio de usuarios y se ejecuta mediante una tarea programada. Este script recupera un script de PowerShell del registro y lo inyecta en un nuevo proceso de PowerShell. Luego, el script de PowerShell utiliza variables de registro adicionales para ejecutar dos ejecutables e inyectarlos en procesos legítimos para iniciar la carga útil del malware.
“Curiosamente, cuando analizamos VBScript y JavaScript, nos sorprendió descubrir que el código no estaba ofuscado”, escribieron los investigadores. “De hecho, los atacantes dejarían comentarios a lo largo del código, explicando lo que hace cada línea, incluso para funciones simples. Los atacantes quieren que su malware sea lo más difícil de entender posible, por lo que rara vez dejan comentarios en el código genuino.
“Basándonos en la estructura de los scripts, los comentarios consistentes para cada función y la selección de nombres y variables de funciones, creemos que es probable que los atacantes hayan utilizado GenAI para desarrollar estos scripts”.
La afirmación ha provocado un acalorado debate en las redes sociales, y algunos se preguntan qué tan efectivo es el malware y en qué medida fue creado por GenAI.
En Reddit, un crítico escribió: “Si realmente se ha utilizado GenAI es, en el mejor de los casos, especulativo, e incluso si lo fuera, seguiría siendo inútil para crear incluso las tareas de software rutinarias más básicas. Ser capaz de utilizar cargas útiles fuente para producir en masa pequeños componentes de script-kiddie-. Honestamente, el malware de nivel no es nuevo ni siquiera útil.
https://www.thestack.technology/genai-malware-hp/
