- Huntress analizó el malware generado por IA “Untitled1.ps1”, una ruidosa herramienta de cálculo de AD personalizada probablemente creada por atacantes poco cualificados que utilizan IA generativa.
- Los atacantes lo combinaron con s5cmd para una rápida filtración de datos y SharpShares.exe para contar el recurso compartido antes de su detección y eliminación.
- Un informe advierte que la “codificación de vibración” de IA reduce las barreras al cibercrimen, crea cargas útiles únicas que evaden las defensas basadas en firmas y requiere análisis de comportamiento para capturar el ciclo de vida de los ataques.
Los ciberdelincuentes “poco sofisticados” ahora pueden escribir fácilmente códigos maliciosos utilizando inteligencia artificial (IA) y lanzar ataques destructivos de violación de datos con rapidez, lo que obliga a los defensores a repensar sus estrategias, afirman los investigadores.
La experta en seguridad Huntress investiga a fondo un malware escrito por IA y explica cómo la carga útil generada por IA es una “herramienta de cálculo de AD personalizada, ruidosa y altamente agresiva”.
Debido a que los ciberdelincuentes suelen tener cuidado de no hacer demasiado ruido y tratar de cumplir sus órdenes sin generar ninguna alarma, los investigadores sugieren que esto es obra de un atacante poco calificado.
Desafíos importantes
Etiquetado como Untitled1.ps1, el malware fue diseñado para mapear entornos de Active Directory y aparentemente hizo bien su trabajo. En el siguiente paso, los malhechores implementaron una herramienta legítima de línea de comandos de alta velocidad llamada s5cmd para las operaciones de Amazon S3 que, según Huntress, se utiliza a menudo para la filtración de datos.
Antes de ser identificados y expulsados, los atacantes implementaron una conocida herramienta de enumeración llamada SharpShares.exe, filtrando recursos compartidos administrativos comunes mientras buscaban repositorios de datos más accesibles para los usuarios.
Pasar de marcos estándar a herramientas de inteligencia artificial personalizadas es un “desafío importante” para los defensores, advirtió Huntress.
“Históricamente, las plataformas AV y EDR han dependido en gran medida de hashes de archivos y firmas de cadenas estáticas”, dicen. “Los scripts codificados en Vibe son inherentemente únicos. Untitled1.ps1 nunca ha existido antes y probablemente nunca volverá a compilarse en esta configuración exacta”.
Como resultado, los defensores deben centrarse en los “comportamientos fundamentales del ciclo de vida del ataque”. El código de IA puede cambiar la sintaxis, dicen, pero no la mecánica subyacente de los cálculos de Active Directory.
“La codificación Vibe reduce la barrera de entrada del ciberdelito, permitiendo a actores desprevenidos crear herramientas evasivas de gran capacidad sobre la marcha”, concluyeron los investigadores. “Si bien el código en sí puede ser confuso, excesivamente diseñado y lleno de características de la IA, como comentarios izquierdistas, la amenaza que plantea es muy real. Para contrarrestarla, los defensores deben abandonar el pensamiento rígido basado en firmas y adoptar análisis de comportamiento para detectar acciones subyacentes que ningún LLM puede”.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.