Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
Resumen de buceo:
- Los actores de amenazas cibernéticas han comenzado recientemente a utilizar IA para desarrollar malware, en una evolución dramática del papel de la tecnología en el ecosistema de piratería, dijo Google la semana pasada.
- Las nuevas cepas de malware utilizan la IA para crecer y cambiar en tiempo real durante la fase de ataque, lo que potencialmente dificulta mucho la detección y la defensa. Los investigadores de inteligencia de amenazas de Google dijeron en un informe.
- La tendencia reciente representa la última fase en una carrera armamentista de IA entre atacantes y defensores.
Información de buceo:
En los últimos años, los investigadores han descubierto constantemente que los piratas informáticos utilizan la IA más como potenciador de señuelos de phishing que como asistente de generación de malware. Los expertos han dicho que existen kits de herramientas de malware de IA en la web oscura, pero no representan el uso más extendido o preocupante de la tecnología. Sin embargo, los nuevos hallazgos de Google sugieren que el papel de la IA en la ofensiva puede estar entrando en una nueva fase.
Cinco familias de malware recién descubiertas (FRUITSHELL, PROMPTFLUX, PROMPTSTEAL, PROMPTLOCK y QUIETVAULT) exhiben capacidades novedosas impulsadas por IA, informó Google, incluida la capacidad de ocultar su código del software de seguridad, crear capacidades de ataque bajo demanda y generar scripts dinámicamente. “Aunque todavía es incipiente”, dijo Google, “esto representa un paso significativo hacia un malware más autónomo y adaptable”.
PROMPTFLUX utiliza Gemini AI de Google para regenerar su propio código y evitar mejor la detección, ocultando el archivo recién reconstituido en la carpeta Inicio de Windows. Una versión del malware utilizó Gemini para reescribir todo su código fuente cada hora. “Este tipo de técnica de ofuscación es un indicador temprano y significativo de cómo los operadores maliciosos probablemente aumentarán sus campañas con IA en el futuro”, dijo Google. La compañía no atribuyó PROMPTFLUX a un actor de amenazas específico, pero dijo que los nombres de los archivos utilizados para lanzar el malware eran consistentes con el comportamiento de “actores con motivación financiera”.
Actualmente, el código de PROMPTFLUX incluye componentes inactivos y una función para limitar su interacción con la API de Gemini, lo que sugiere que sigue en desarrollo. Google dijo que había “tomado medidas para desactivar los activos asociados con esta actividad”, y agregó que PROMPTFLUX por sí solo no podía piratear los sistemas.
Mientras tanto, PROMPTSTEAL utiliza la plataforma de Hugging Face para consultar un modelo de lenguaje grande (LLM) y generar comandos cortos de Windows que recopilan y roban información de los sistemas de destino. El software se hace pasar por una herramienta de generación de imágenes que genera y ejecuta comandos de reconocimiento en segundo plano. Al generar dinámicamente nuevos scripts para ejecutar comandos, el malware podría ayudar a los piratas informáticos a mantenerse activos en una máquina objetivo sin alertar a los defensores que buscan fragmentos de código específicos.
Google dijo que había observado a APT28, un grupo vinculado a Rusia y asociado con la agencia de inteligencia militar GRU del país, utilizando PROMPTSTEAL en Ucrania. autoridades de ese país reportado previamente en la apariencia del malware. Google dijo que esos ataques fueron la primera vez que vio malware consultando un LLM en la naturaleza.
“Aunque algunas implementaciones recientes de nuevas técnicas de IA son experimentales”, dijo Google, “proporcionan un indicador temprano de cómo están evolucionando las amenazas y cómo pueden potencialmente integrar capacidades de IA en futuras actividades de intrusión”.
Los usos recientemente descubiertos de la IA en el malware resaltan la necesidad de que los defensores reemplacen las herramientas tradicionales de detección estática con software que pueda identificar una gama más amplia de actividades anómalas.
“Los atacantes están yendo más allá de la ‘codificación de vibraciones’ y la línea de base observada en 2024 del uso de herramientas de inteligencia artificial para soporte técnico”, escribieron los investigadores de Google. “Apenas ahora estamos empezando a ver este tipo de actividad, pero esperamos que aumente en el futuro”.
Los actores de amenazas también siguen utilizando la IA para otros fines. El informe de Google describió un grupo vinculado a China que utiliza Gemini para “elaborar contenido atractivo, construir infraestructura técnica y desarrollar herramientas para la filtración de datos”. Para evitar las protecciones de Gemini contra el uso malicioso, el actor de amenazas se hizo pasar por un participante en un ejercicio de captura de bandera y persuadió a Gemini para que proporcionara “información útil que podría usarse indebidamente para explotar la vulnerabilidad”. [targeted] sistema.” El actor vinculado a China luego utilizó la artimaña del CTF en muchas indicaciones futuras de Géminis.
Otros grupos de Estados-nación no tuvieron tanta suerte. Un grupo de piratas informáticos vinculado a Irán intentó utilizar Gemini para desarrollar malware personalizado, pero al hacerlo, reveló información sobre sus operaciones (incluido el dominio de su servidor de comando y control) que ayudó a Google a interrumpir sus actividades.
