Los investigadores de seguridad de HP Wolf Security revelaron una nueva técnica de ataque en su investigación de junio de este año. La investigación mostró que los hackers utilizan chatbots de inteligencia artificial para generar scripts maliciosos en VBScript y JavaScript, y a través de estos scripts lograron propagar un programa malicioso llamado AsyncRAT. El punto de partida de esta investigación fue un correo electrónico sospechoso de Francia, que llamó la atención de los expertos en seguridad.
AsyncRAT es una herramienta de acceso remoto de código abierto que permite a los hackers monitorear y controlar de forma remota las computadoras de otras personas a través de una conexión segura y encriptada. Debido a sus múltiples funciones, como un keylogger y control remoto de escritorio, esta herramienta a menudo se utiliza como el último eslabón de una cadena de ataque. Puede propagarse a través de diferentes métodos, como phishing, anuncios maliciosos y paquetes de explotación de vulnerabilidades.
La figura 1 muestra la cadena de ataque de este incidente. En primer lugar, los hackers envían un correo electrónico de phishing con un archivo HTML adjunto. Cuando la víctima abre el archivo HTML, se activa un script malicioso escrito en VBScript, que escribe datos relacionados con el programa malicioso en el registro y crea un script en JavaScript en la carpeta de la víctima. Luego, a través de una tarea programada, se logra la persistencia y se ejecuta el script malicioso en JavaScript. Este script lee los datos previamente escritos en el registro para ejecutar el contenido del script de PowerShell, que finalmente decodifica los datos en el registro y obtiene el programa malicioso que el hacker quiere ejecutar, AsyncRAT.
Los investigadores de seguridad creen que los scripts maliciosos en VBScript y JavaScript de la figura 1 pueden haber sido generados por inteligencia artificial. Por lo general, los programas maliciosos intentan confundir para dificultar su análisis, pero en este caso, los scripts maliciosos no solo no están confundidos, sino que también contienen una gran cantidad de comentarios. La figura 2 muestra el contenido del script malicioso en VBScript de este incidente, y los numerosos comentarios parecen estar destinados a hacer que el chatbot de inteligencia artificial pueda comprender lo que se requiere.
Con el avance de la inteligencia artificial, se cree que los hackers pueden utilizarla para escribir programas maliciosos, pero hasta ahora no hay pruebas sólidas de que los programas maliciosos generados por inteligencia artificial se hayan propagado en entornos reales. Sin embargo, este ataque de hackers proporciona pruebas suficientes de cómo la inteligencia artificial puede acelerar los ataques maliciosos y reducir la barrera técnica para infectar computadoras.
Desde una perspectiva de defensa, con el uso de la inteligencia artificial por parte de los atacantes, las empresas deben integrarla en sus sistemas de defensa para identificar las amenazas generadas por inteligencia artificial y al mismo tiempo simplificar la carga de trabajo de los expertos en seguridad. De esta manera, no solo se mejorará la seguridad general de la empresa, sino que también se podrá enfrentar de manera más efectiva a las técnicas de ataque en constante evolución.