La IA se utiliza tanto en defensa como en ataque en materia de ciberseguridad. Y en este último caso, los cibercriminales han comprendido claramente los beneficios que pueden obtener de esta tecnología. Un reciente ataque contra organizaciones alemanas sería prueba de ello. según un informe de Proofpoint sobre esta campañaEl infostealer llamado Rhadamanthys, distribuido mediante un script de PowerShell, probablemente fue creado por una IA generativa como ChatGPT, Gemini o CoPilot. Los investigadores llevan tiempo advirtiendo sobre la amplia disponibilidad de estas potentes herramientas que ponen los ataques al alcance de los cibercriminales menos expertos, con los que pueden crear señuelos de phishing más creíbles en lenguajes que no conocen o códigos maliciosos sin ser programadores expertos.

Incluso si los atacantes son lo suficientemente hábiles para escribir código, aún pueden usar asistentes de inteligencia artificial para acelerar la tarea. Tal es el caso del último ataque de un grupo conocido como TA547, que actúa como un intermediario de acceso inicial para otros cibercriminales, vendiendo acceso a sistemas comprometidos. “Es difícil confirmar que el contenido malicioso, desde scripts de malware hasta señuelos de ingeniería social, se creó utilizando LLM, pero ciertas características de este contenido indican que la información fue generada por máquinas en lugar de humanos”, dijeron los investigadores de Proofpoint.

Índice
  1. Cambio de táctica
  2. Cómo evadir los motores de detección de EDR
  3. Participación de GenAI y LLM en el guión

Cambio de táctica

Activo desde 2017, el actor de amenazas TA547 ha utilizado muchos troyanos y ladrones de información diferentes a lo largo de los años. En 2023, las campañas de correo electrónico malicioso del grupo a menudo distribuían scripts JavaScript maliciosos que implementaban NetSupport RAT y, ocasionalmente, StealC y Lumma Stealer. Para este nuevo ataque, los investigadores observaron un cambio de táctica. En lugar de utilizar archivos JavaScript maliciosos incrustados en archivos ZIP, la banda optó por archivos LNK utilizados para accesos directos a aplicaciones de Windows.

Estos pueden contener scripts de PowerShell que son compatibles de forma nativa con Windows, lo que los convierte en un poderoso mecanismo de entrega de carga útil. La última campaña de correo electrónico detectada por Proofpoint utilizó un señuelo de facturación en alemán con un membrete falso del importante minorista Metro. Docenas de organizaciones de una variedad de industrias en Alemania fueron atacadas. Los correos electrónicos fraudulentos contenían un archivo ZIP protegido con contraseña, con la contraseña proporcionada en el correo electrónico. Dentro, contenían un archivo LNK que invocaba el entorno de ejecución de PowerShell para ejecutar un script alojado de forma remota.

Cómo evadir los motores de detección de EDR

El objetivo de este script secundario era decodificar un archivo ejecutable usando Base64 para el ladrón de información Rhadamanthys que estaba almacenado en una variable, luego cargarlo directamente en la memoria y ejecutarlo sin escribirlo en el disco. Este tipo de técnica de malware sin archivos se usa comúnmente para evadir los motores de detección y respuesta de endpoints (EDR).

Ejemplo de PowerShell que se sospecha que fue generado por IA. (Crédito de la foto: Proofpoint)

Debido a que su propósito es cargar una carga útil de malware en el sistema, el script de PowerShell se denomina cargador de malware. Como se mencionó anteriormente, TA547 prefería anteriormente los cargadores basados ​​en JavaScript y esta también es la primera vez que el grupo ha utilizado Rhadamanthys, aunque esto no es inusual ya que este ladrón de información ha ganado popularidad en el submundo de los cibercriminales.

Participación de GenAI y LLM en el guión

“El script de PowerShell incluía una almohadilla seguida de comentarios gramaticalmente correctos e hiperespecíficos sobre cada componente del script”, dijeron los investigadores de Proofpoint. “Esto es típico del contenido de codificación generado por LLM, lo que sugiere que el grupo TA547 utilizó una herramienta habilitada para LLM para escribir (o reescribir) el PowerShell o copió el script de otra fuente que ya lo había utilizado”. Si bien los atacantes pueden usar LLM para comprender mejor las cadenas de ataque de sus competidores con el fin de mejorar o incluso crear las suyas propias, el uso de LLM no necesariamente dificulta la detección.

Por el contrario, podría resultar más fácil si se añadieran a las firmas de detección algunas señales de código generado por IA. “En última instancia, se ha cargado en el sistema una carga útil de malware conocida y los productos de seguridad de endpoints eficaces deberían poder detectarla”, afirmaron los investigadores.