Investigadores de IBM demostraron, a través del desarrollo de una nueva variante de herramientas de ataques altamente dirigidas mediante el uso de Inteligencia Artificial (AI), cómo ciertos modelos de IA existentes combinados con técnicas utilizadas actualmente para el desarrollo de malware puede impulsar la creación de una nueva variante de malware.
Los investigadores nombraron a este grupo de herramientas como DeepLocker y lo presentaron esta semana en Black Hat 2018, donde explicaron que surgió como una prueba de concepto, ya que en la medida que los cibercriminales y las amenazas informáticas evolucionan y se aprovechan de la IA, los profesionales y la industria de la seguridad deben comprender cuáles son los mecanismos e implicancias del uso de la Inteligencia Artificial con el objetivo de desarrollar medidas de seguridad apropiadas.
DeepLocker es un malware evasivo que utiliza inteligencia artificial y se mantiene oculto hasta que alcanza a una víctima específica, desplegando su acción maliciosa en el momento en el que el modelo de inteligencia artificial aplicado detecta a la víctima mediante indicadores como son, el reconocimiento facial, geolocalización o reconocimiento de la voz. De esta manera, el malware se mantiene oculto y evita ser detectado por las distintas soluciones de seguridad hasta el preciso momento en que reconoce a su blanco de ataque. Uno de los principales peligros que representa esta amenaza que trabaja con IA es que tiene el poder de afectar a millones de sistemas sin ser detectado.
Según explicaron los investigadores, lo que hace único a DeepLocker es que la implementación de inteligencia artificial para determinar su activación hace que el ataque sea prácticamente imposible de desbloquear mediante el uso de ingeniería inversa, ya que el payload solo se desbloquea si logra alcanzar al blanco de ataque.
Por otro lado, la categoría de malware que representa DeepLocker contrasta bastante con las técnicas de evasión utilizadas por los malware que aparecen activos. Si bien todos intentan mantenerse ocultos, ninguno es tan efectivo como DeepLocker, aseguran los especialistas.
Para demostrar las capacidades de DeepLocker, los investigadores desarrollaron una prueba de concepto en la cual escondieron el conocido ransomware WannaCryptor en una aplicación para videoconferencia.
Teniendo en cuenta las características de activación del malware, DeepLocker no ejecuta el ransomware en el sistema hasta que no reconoce el rostro de la víctima, lo cual puede lograrse utilizando fotos públicas de la potencial víctima.
Los expertos de IBM explican que si bien hasta el momento no se conocen registros de esta clase de malware como DeepLocker, las herramientas de IA están disponibles de forma pública, así como también la técnicas maliciosas implementadas. Esto quiere decir que solo es cuestión de tiempo para comenzar a ver casos donde cibercriminales combinen estas técnicas e incluso aseguran que no se sorprenderían si se enteran que este tipo de ataques está siendo desplegado en la actualidad.
“Si bien los cibercriminales siguen apoyando la mayoría de sus ataques en campañas masivas de ingeniería social, las campañas dirigidas que buscan usuarios específicos han aumentado en los últimos meses. Hasta ahora, lo que más se observa son campañas de ingeniería social a través del correos dirigidos, con un alto grado de especificidad, que utilizan temas muy particulares; tal como lo hemos visto en campañas de espionaje usando malware como Quasar y Sobaken. Si bien este tipo de campañas suelen ser efectivas, el hecho de que veamos este tipo de casos implica que se abren nuevas perspectivas para que los cibercriminales propaguen sus amenazas. Sin lugar a dudas, el uso de la IA puede ser una alternativa utilizada en campañas más complejas y de ahí la necesidad de pensar en la seguridad como una estrategia por capas y no únicamente como la instalación de una solución de seguridad”, opinó el Head of Awareness & Research del Laboratorio de ESET Latinoamérica, Camilo Gutiérrez.
A continuación podrán acceder a la presentación completa que realizó el grupo de investigadores de IBM en Black Hat 2018 con más detalles de la investigación.
Te puede interesar también