Los ciberdelincuentes siguen poniendo en jaque la seguridad empresarial valiéndose de herramientas, cada vez más eficientes, implementadas con IA. El último descubrimiento ha sido un script de PowerShell, creado con la ayuda de un sistema de IA Generativa como ChatGPT, Gemini o CoPilot, para generar un código malicioso de manera rápida y estratégica.
Esta conclusión puede extraerse de un estudio desarrollado por un grupo de investigadores de Proofpoint, que emitieron un nuevo informe sobre TA547. Para ello, se publicó una campaña de correo electrónico dirigida a decenas de organizaciones alemanas, con la única pretensión de enviarles información Rhadamanthys.
Claves de la investigación del malware
Dicha campaña de phishing por correo electrónico entregaba el malware Rhadamanthys, haciéndose pasar por la empresa minorista germana Metro, remitiendo a los receptores facturas y otros documentos con información financiera sensible.
Los correos electrónicos contenían un archivo ZIP protegido con contraseña que, al ejecutarlo, activaba PowerShell para, posteriormente, ejecutar un script de PowerShell remoto.
Los archivos ZIP estaban protegidos con la contraseña ‘MAR26’, que a su vez contenía un archivo de acceso directo malicioso (.LNK). A partir de ese momento, PowerShell procedió a ejecutar un script remoto.
De este modo, los ciberdelincuentes lograban obtener credenciales de inicio de sesión de las víctimas para, a continuación, venderlas a través de la Dark Web por subasta. Además, este método permite ejecutar código malicioso en la memoria sin tocar el disco.
Proofpoint, en sus investigaciones, concluyó que se incluía un signo de almohadilla seguido de comentarios específicos para cada componente, algo poco frecuente en el código natural creado por humanos.
¿Quién está detrás?
TA547 es el hipotético actor de amenazas al que se le atribuye este malware de IA que emplea un script de PoweShell. Las investigaciones concluyen que se trataría de un corredor de acceso inicial (IAB).
Conocido popularmente como Scully Spider, se encuentra activo desde, al menos, el año 2017. Desde entonces, ha venido emitiendo numerosos malware para sistemas Windows y Android. De hecho, este grupo se considera como actor de amenazas pionero en la utilización del malware Rhadamanthys.
Desde septiembre de 2022, TA547 se ha ido distribuyendo a diferentes grupos de ciberdelincuentes bajo el modelo de malware como servicio (MaaS).
Si se analiza la evolución histórica de TA547, puede concluirse que el grupo se ha mantenido activo durante varios años, entregando esencialmente NetSupport RAT. De igual modo, el grupo abandonó StealC y Lumma Stealer. En líneas generales, se dirigen en sus acciones maliciosas a empresas de Suiza, Alemania y Austria, aunque también son muy destacadas sus ofensivas contra grupos de EEUU y España.
Principales conclusiones
Hay que destacar que no existen conclusiones certeras que determinen que el código de PowerShell procediese de una solución de LLM. Si bien es cierto, los investigadores aseguran que el contenido del script sugiere la posibilidad de que TA547 emplea la IA Generativa para escribir o reescribir el script de PowerShell.
A raíz de esto, Daniel Blackford (director de Investigación de Amenazas en Proofpoint), ha aclarado que los desarrolladores suelen cometer determinados errores gramaticales, aunque el script de PowerShell, generado por LLM, cuenta con una línea de código con comentarios asociados y una estructura gramatical impecable.
Por consiguiente, los ciberdelincuentes o han usado ChatGPT-4 para crear un script de PowerShell similar o lo copiaron de una fuente que dependía de la IA Generativa para la codificación.
Otros casos de virus o malware generados por IA
Desde la irrupción de ChatGPT por OpenAI a finales de 2022, los actores de amenazas con motivación financiera han aprovechado el poder de la IA para crear campañas de phishing personalizadas o localizadas, ejecutando escaneos de red e identificando potenciales vulnerabilidades en host o redes.
De igual modo, ha habido actores y estados-nación vinculados a China, Rusia e Irán que han recurrido a la IA Generativa para mejorar la productividad y otros métodos para evadir la detección de amenazas, así como un férreo soporte de secuencias de comandos.
Ya en febrero, OpenAI bloqueó cuentas asociadas con grupos de hackers patrocinados por el estado: Charcoal Typhoon, Salmon Typhoon (China), Crimson Storm (Irán), Emerald Sleet (Corea del Norte) y Forest Blizzard (Rusia).
Así pues, los actores de amenazas han llegado a lanzar sus propias plataformas de AI Chat para ciberdelincuentes, las cuales emplean malware con fines maliciosos y obtener beneficios financieros.
Recientemente, en marzo de 2024, se descubrió el caso de Morris II. Se trata de un gusano IA de primera generación que puede robar datos y propagar malware y spam a través de aplicaciones que se conectan a modelos de inteligencia artificial como GPT-4 o Gemini Pro. Posteriormente, se encarga de ofrecer un determinado servicio. Fue diseñado por un grupo de investigadores de Cornell Tech.
Los límites de los virus y malware fabricados con IA son indeterminados. Y es que a pesar de las restricciones iniciales de ChatGPT, un desarrollador conocido como Aaron Mulgrew llegó a burlar la seguridad de la plataforma, pidiéndole el desarrollo de un malware para que hiciese cada función por separado, extrayendo datos de equipos infectados.
