Los desarrolladores de malware ahora están usando IA generativa para acelerar el proceso de escritura de código, acelerando la cantidad de ataques y permitiendo que cualquier persona con conocimientos de tecnología desarrolle malware.
En un informe de septiembre del equipo Wolf Security de HP, HP detalló cómo descubrieron una variación del troyano de acceso remoto asincrónico (AsyncRAT), un tipo de software que puede usarse para controlar de forma remota la computadora de una víctima, mientras investigaban un correo electrónico sospechoso enviado a un cliente.
Sin embargo, aunque AsyncRAT fue desarrollado por humanos, esta nueva versión contenía un método de inyección que parecía haber sido desarrollado utilizando IA generativa.
En el pasado, los investigadores han encontrado “señuelos de phishing” generados por IA o sitios web engañosos utilizados para atraer a las víctimas y estafarlas. Pero según el informe, “ha habido evidencia limitada de que los atacantes hayan utilizado esta tecnología para escribir código malicioso en la red” antes de este descubrimiento.
El programa tenía varias características que proporcionaban una evidencia sólida de que había sido desarrollado por un programa de IA. En primer lugar, casi todas sus funciones estaban acompañadas de un comentario que explicaba lo que hacían.
Los cibercriminales rara vez se toman el tiempo de proporcionar notas a los lectores, ya que generalmente no quieren que el público comprenda cómo funciona su código. Los investigadores también creían que la estructura del código y la “elección de nombres de funciones y variables” brindaban pruebas sólidas de que el código se desarrolló mediante inteligencia artificial.
Extracto de código que contiene supuestas declaraciones generadas por IA. Fuente: HP Wolf Security
El equipo descubrió por primera vez el correo electrónico cuando se envió a un suscriptor del software de contención de amenazas Sure Click de HP. Se hacía pasar por una factura escrita en francés, lo que indicaba que probablemente se trataba de un archivo malicioso dirigido a hablantes de francés.
Sin embargo, inicialmente no pudieron determinar qué hacía el archivo, ya que el código relevante estaba almacenado dentro de un script que solo podía descifrarse con una contraseña. A pesar de este obstáculo, los investigadores finalmente lograron descifrar la contraseña y descifrar el archivo, lo que reveló el malware oculto en él.
Dentro del archivo había un script de Visual Basic (VBScript) que escribía variables en el registro de la PC del usuario, instalaba un archivo JavaScript en uno de los directorios del usuario y luego ejecutaba el archivo JavaScript. Este segundo archivo cargaba la variable desde el registro y la inyectaba en un proceso de Powershell. Luego se ejecutaban dos scripts más, lo que provocaba que el malware AsyncRAT se instalara en el dispositivo.
Cadena de infección que conduce a AsynRAT. Fuente: HP Wolf Security
Según el desarrollador de software de ciberseguridad Blackberry, AsyncRAT es un software lanzado a través de GitHub en 2019. Sus desarrolladores afirman que es "una herramienta legítima de administración remota de código abierto". Sin embargo, "es utilizada casi exclusivamente por actores de amenazas cibernéticas".
El software permite a sus usuarios “controlar hosts infectados de forma remota” al proporcionarles una interfaz de usuario que puede realizar tareas en la computadora de la víctima. Debido a que permite a un atacante tomar el control de la computadora de una víctima, AsyncRAT se puede utilizar para robar la clave privada o las palabras clave de un usuario de criptomonedas, lo que puede provocar la pérdida de fondos.
Si bien AsyncRAT en sí no es nuevo, esta variación particular utiliza un método de inyección novedoso, y los investigadores encontraron signos reveladores de código generado por IA en este método de inyección, lo que indica que esta nueva tecnología hace que sea más fácil que nunca para los desarrolladores de malware realizar ataques.
“La actividad muestra cómo GenAI [IA generativa] está acelerando los ataques y reduciendo el nivel de infectividad de los puntos finales para los cibercriminales”, afirma el informe de HP.
Los investigadores de ciberseguridad aún están lidiando con los efectos del avance de la IA en la seguridad. En diciembre, algunos usuarios de ChatGPT descubrieron que podría usarse para descubrir vulnerabilidades en contratos inteligentes.
Como muchos en la comunidad criptográfica notaron en ese momento, esto podría convertir al programa de IA en una herramienta útil para los piratas informáticos de sombrero blanco, pero también podría permitir que los de sombrero negro encuentren vulnerabilidades para explotar.
En mayo de 2023, el departamento de seguridad de Meta publicó un informe advirtiendo que algunos operadores de malware estaban creando versiones falsas de programas populares de inteligencia artificial generativa y usándolos como señuelos para atraer víctimas.
Revista: El sistema avanzado de inteligencia artificial ya es “autoconsciente”, dice el fundador de ASI Alliance
