Blog de WatchGuard

ChatGPT puede crear malware polimórfico, ¿y ahora qué?

A pesar de los controles de seguridad que OpenAI ha impuesto a ChatGPT para intentar que sea un espacio seguro y capaz de ayudar en diversas tareas, los ciberdelincuentes han sabido aprovechar esta tecnología para fines maliciosos.

Recientemente, diferentes investigaciones han demostrado que esta inteligencia artificial generativa es capaz de crear una nueva rama de malware polimórfico con relativa facilidad. Y es que el principal riesgo reside en la versatilidad de ChatGPT, lo que le permite crear código y podría usarse fácilmente para crear malware.

Aunque pueda parecer complicado, eludir los filtros de contenido que evitan que ChatGPT cree códigos maliciosos es bastante simple. Esto amplía el grupo de cibercriminales capaces de crear amenazas avanzadas, ya que simplifica los procesos y elimina la necesidad de contar con conocimientos técnicos avanzados.  Utilizando las preguntas continuas y demandando al programa que obedezca después de su primera negativa, es posible recibir un código único, funcional y validado, y así obtener un malware polimórfico difícil de manejar y altamente evasivo para los sistemas de seguridad.

Funcionamiento y características deun malware polimórfico

Los malwares polimórficos se han convertido en una de las amenazas más difíciles de detectar y combatir debido a su persistencia y su capacidad para cambiar de apariencia y comportamiento. Esta naturaleza complica que el software antivirus lo reconozca. A causa de su capacidad para ocultarse y evadir la detección, los malwares polimórficos pueden tener un impacto devastador en los sistemas informáticos, robar información confidencial, comprometer la seguridad de la red y causar daños irreparables. Pero ¿cuáles son los elementos que hacen que sean tan complejos?

  • Cambian su apariencia cada vez que se ejecutan: los malware polimórficos están diseñados para modificar su estructura y apariencia cada vez que se ejecutan, reescribiendo completamente su código mediante el cifrado de ficheros y la modificación de sus firmas en consecuencia, lo que dificulta su detección por parte de los programas antivirus que se basan en las firmas de virus conocidos.
  • Transformación del código fuente: estos malware utilizan técnicas avanzadas de ofuscación de código para evitar ser detectados como técnicas de cifrado y descompresión o la incorporación de código inútil o irrelevante para dificultar su análisis.
  • Técnicas de evasión: los malware polimórficos pueden utilizar técnicas de evasión de sandbox y otras técnicas de elusión para evitar ser detectados y analizados.
  • Personalización:  puede ser altamente personalizado y dirigido a un objetivo específico, lo que hace que su patrón de comportamiento sea único y difícil de detectar por los programas que se basan en la detección de comportamiento sospechoso.

Para demostrar de lo que el malware basado en IA es capaz, un grupo de investigadores construyeron una prueba de concepto (PoC), un malware de tipo keylogger llamado BlackMamba, generado con ChatGPT y que usa Python para modificar su programa aleatoriamente.

La capacidad de keylogging permite recopilar información confidencial de cualquier dispositivo y, una vez se han obtenidos los datos, el malware utiliza una plataforma de colaboración común y fiable para enviar los datos recopilados a través de un canal malicioso y así poder explotarlos vendiéndolos en la Dark Web o utilizándolos en nuevos ataques.

Gracias al lenguaje de programación de código abierto Python, los desarrolladores pueden convertir scripts en archivos ejecutables independientes que se pueden ejecutar en varios sistemas operativos. 

Este proceso demuestra la capacidad de aprendizaje del entorno de la red y de reconocer patrones de verificación de seguridad que tiene la IA, lo que le permite ejecutar el malware sin levantar alertas en el sistema.

Cómo combatir el malware basado en IA

Si los malware polimórficos ya son un desafío para los especialistas en ciberseguridad, que estén impulsados por IA lo complica aún más.  Aunque las soluciones de seguridad tradicionales aprovechan los sistemas de inteligencia de datos multicapa para combatir algunas de las amenazas más sofisticadas de la actualidad con controles automatizados que pretenden prevenir patrones de comportamiento novedosos o irregulares, en la práctica, no es tan sencillo. En este tipo de casos, la detección y respuesta extendida (XDR) ofrece un método complementario para proteger contra estos ataques.

Las soluciones XDR, como el ThreatSync XDR de Watchguard, ofrecen una visibilidad ampliada, detección mejorada, respuesta rápida, gracias a la correlación de la telemetría de diferentes soluciones de seguridad. De esta forma, pueden aportar el contexto de la amenaza mejorando de la eficiencia y reduciendo el riesgo de ser víctima de un malware polimórfico. Así, permite a los analistas tener una mejor visibilidad de las amenazas y mejorar la capacidad de respuesta en tiempo real.

Si quieres conocer más sobre XDR y su capacidad de detección de amenazas puedes visitar los siguientes contenidos: