Utiliza la inteligencia artificial para permanecer escondido y activarse solo cuando identifica al sospechoso.

La sofisticación de los ataques cibernéticos es cada vez mayor y es cuestión de tiempo que utilicen -si no está ocurriendo ya- herramientas de inteligencia artificial. Por eso, investigadores de IBM Research han desarrollado una nueva generación de herramientas de ciberseguridad con IA, denominada DeepLocker. Esta tecnología aúna herramientas de IA de código abierto con técnicas de malware que dan lugar a un nuevo tipo de malware evasivo -capaz de evitar de forma activa ser analizado e identificado- ultra dirigido y altamente efectivo contra el cibercrimen.

La ventaja de DeepLocker es que permanece oculto en una aplicación hasta que, gracias a su entrenamiento con IA, se activa cuando identifica al sospechoso, mediante reconocimiento facial, geolocalización o reconocimiento de voz. Esta capacidad es similar al ataque de un francotirador, en contraste con el enfoque de «rociado” del malware tradicional. DeepLocker está diseñado para ser sigiloso. Vuela bajo el radar, evitando la detección hasta el momento preciso en que reconoce un objetivo específico.

Este malware es prácticamente imposible de detener ya que los ciberdelincuentes sólo podrían desbloquear su carga una vez les hubiese alcanzado. Esto es posible mediante el uso de un modelo de IA de red neuronal profunda (DNN) que evita que los ciberdelincuentes puedan desbloquearlo mediante el uso de ingeniería inversa.

Prueba de concepto

Para demostrar las capacidades de DeepLocker, los investigadores de IBM han desarrollado pruebas de concepto en las que escondieron ransomware en aplicaciones de videoconferencia. DeepLocker no ejecutó el ransomware en el sistema hasta que el modelo de IA con el que fue entrenado reconoció el rostro del ciberdelincuente. Cuando el sospechoso se sentó frente al ordenador y usó la aplicación, Deep Locker se activó de forma secreta, ya que su cara era la clave para activar el ataque. El ransomware no pudo ser detectado por herramientas de análisis de malware tradicionales, como motores de antivirus y entornos limitados.

Retrospectiva sobre ciberseguridad y malware evasivo

Evolución del malware:

• A finales de los 80 y principios de los 90, se diseñaron las primeras variantes de virus polimórficos y metamórficos para alterar y destruir datos. Por medio de la mutación de la carga útil, los creadores del malware evitaban los sistemas antivirus que hacían análisis estático de los ficheros en busca de patrones. En consecuencia, la industria antivirus fue haciendo evolucionar y mejorando gradualmente el análisis estático detecta la intención maliciosa del código o archivos que se ejecutaban en aquellos terminales que protegían.

• En la década de los 90, los autores de malware comenzaron a cifrar la carga útil malintencionada utilizando los denominados “empaquetadores”, de modo que el código malicioso solo podía identificarse cuando se descifrara en la memoria antes de su ejecución. La industria de la seguridad respondió con un análisis dinámico de malware, creando sistemas virtualizados en los que se ejecutaban los ejecutables sospechosos. De este modo, se supervisaba su actividad y se determinaba si su naturaleza era benigna o maliciosa.

• En la década de los 2000, surgieron las primeras formas de malware evasivo. Por ejemplo, el malware utilizaba verificaciones para identificar si se estaba ejecutando en un entorno virtualizado y si había otros procesos que se sabía que se ejecutaban en entornos limitados de malware. Si se encontraba alguno, el malware dejaba de ejecutar su carga maliciosa para evitar el análisis y mantener sus secretos encriptados. Este enfoque aún prevalece hoy en día, ya que según diversos estudios, el 98 por ciento de las muestras de malware analizadas utilizan técnicas evasivas en diversos grados.

• En los últimos años, el malware se ha vuelto cada vez más sofisticado y utilizan sistemas bare metal, – según Computer Security Group de la Universidad de California, Santa Bárbara- que se ejecutan en hardware real y evitan la virtualización. Una estrategia diferente son los ataques dirigidos. Estos seccionan sus rutinas de infección para tener un paso inicial que inspecciona cuidadosamente el entorno en el que se ejecutan en busca de características predefinidas sospechosas, como los nombres de usuario y los procesos de soluciones de seguridad. Solo si el punto final de destino se encuentra despejado, se busca y ejecuta el malware. Un ejemplo conocido de evasión es el gusano Stuxnet, que fue programado para apuntar y atacar sólo a sistemas de control de un fabricante en particular, y únicamente con ciertas configuraciones de hardware y software.

Aunque el malware evasivo sigue evolucionando, las formas más recientes de software malicioso dirigido siguen requiriendo activadores predefinidos que apoden identificarse al verificar el código, el código empaquetado, la configuración de los archivos o la actividad de la red. Frente a estos intentos de engaño de los ciberdelincuentes, los analistas expertos en malware de las organizaciones ya pueden observar y aislar todos estos desencadenantes de engaño y actuar para evitarlos con herramientas como DeepLocker.

Aunque todavía no se ha identificado ningún malware del tipo de DeepLocker entre la ciberdelincuencia, la comunidad necesita prepararse para este nuevo nivel de ataques con IA.