Uno de los aspectos que más se critica de la inteligencia artificial consiste en las posibilidades de darle un uso para aplicaciones malignas y, en este caso concreto, se ha hablado largo y tendido sobre su empleo en la creación de tretas de phishing y malware.
La revista Security Affairs publica un artículo en el que explica un caso real de un grupo de investigadores de HP que, en junio de 2024, identificaron un nuevo tipo de malware creado mediante servicios de inteligencia artificial generativa, y utilizado para distribuir el conocido AsyncRAT, un troyano de acceso remoto que infecta sistemas Windows para monitorizarlos y controlarlos remotamente a través de conexiones seguras y encriptadas.
Además, también proporciona una puerta trasera a los atacantes, que permite incluir el dispositivo como parte de una botnet para realizar otras actividades maliciosas.
El correo malicioso que propagaba este malware empleaba un señuelo de factura y adjuntaba un archivo HTML cifrado, aprovechando el método de "HTML smuggling" para eludir la detección.
Lo que destacó en este ataque fue que el ciberdelincuente incorporó la clave de descifrado AES directamente en el JavaScript del adjunto, algo poco común. Una vez descifrado, el archivo simulaba ser un sitio web, pero contenía código VBScript que actuaba como descargador del AsyncRAT.
Este VBScript alteraba el Registro de Windows, desplegaba un archivo JavaScript que se ejecutaba como tarea programada, y creaba un script de PowerShell para activar la carga útil de AsyncRAT.
Al analizar el código, los investigadores notaron que casi la totalidad estaba comentado, una práctica inusual entre los autores de malware, quienes suelen evitar facilitar el análisis del código que crean. Además, carecía de ofuscación y contenía comentarios que explicaban cada línea, incluso en funciones sencillas, lo que ya hizo sospechar que se trataba de algo generado de forma automatizada.
Según el informe "Threat Insights" de HP correspondiente al segundo trimestre de 2024, "la estructura de los scripts, los comentarios consistentes en cada función, y la elección de nombres y variables, indican con alta probabilidad que el atacante utilizó inteligencia artificial generativa para desarrollar estos scripts (T1588.007). Esta actividad demuestra cómo la IA está acelerando los ataques y reduciendo la barrera para que los ciberdelincuentes infecten endpoints".
Si bien los actores maliciosos han empleado la IA generativa para crear señuelos en campañas de phishing, su uso en la generación de código malicioso ha sido menos frecuente. Este caso subraya cómo la inteligencia artificial está facilitando la creación de malware, incrementando la velocidad de los ciberataques y simplificando el proceso para los ciberdelincuentes.
El informe concluye que "la estructura de los scripts, los comentarios y la elección de nombres de funciones y variables, son indicios sólidos de que el actor de las amenazas utilizó IA generativa para crear el malware (T1588.007). Esta actividad muestra cómo la IA está acelerando los ataques y bajando el listón para que los ciberdelincuentes puedan infectar sistemas".
