November 24, 2023 Felipe Mendez

BlackMamba: Malware generado con ChatGPT burla EDR y exfiltra información usando MS Teams

NUEVO PANORAMA DE AMENAZAS QUE USAN INTELIGENCIA ARTIFICIAL (IA VS IA)

La introducción de ChatGPT el año pasado marcó la primera vez que un motor de inteligencia artificial que usa una red neuronal estuvo disponible gratuitamente para las masas. Esta poderosa y versátil herramienta se puede usar para todo, desde responder preguntas simples hasta redactar trabajos escritos al instante y desarrollar programas de software originales, incluido el malware, el último de los cuales presenta el potencial de una nueva y peligrosa generación de ciberamenazas.

Las soluciones de seguridad tradicionales, como los EDR, aprovechan los sistemas de inteligencia artificial de datos multicapa para combatir algunas de las amenazas más sofisticadas de la actualidad, y la mayoría de los controles automatizados pretenden prevenir patrones de comportamiento novedosos o irregulares, pero la posibilidad de usar esta tecnología para crear amenazas avanzadas con capacidades polimórficas haciendolas difíciles de detectar es una realidad. Además, la velocidad a la que se pueden ejecutar estos ataques hace que la amenaza sea exponencialmente peor.

 

CREANDO BLACKMAMBA 

En una investigación realizada por Jeff Sims en HYAS, empresa dedicada a la detección de amenazas, crearon “Blackmamba”, un “keylogger polimórfico sintetizado por IA” que usa Python para modificar su programa aleatoriamente. Esto con el fin demostrar de lo que es capaz el malware basado en IA, crearon una prueba de concepto (PoC) simple que utiliza un ejecutable benigno que llega a una API de alta reputación (OpenAI) en tiempo de ejecución, por lo que puede devolver el código malicioso sintetizado necesario para robar las pulsaciones de teclas de un usuario infectado.

Posteriormente ejecuta el código generado dinámicamente dentro del contexto del programa benigno usando la función exec() de Python. Cada vez que BlackMamba se ejecuta, vuelve a sintetizar su capacidad de registrar las pulsaciones del teclado, lo que la convierte en una amenaza polimórfica siendo difícil de detectar.  La pruebas hechas por HYAS indican que BlackMamba se probó contra un EDR líder en la industria del cual no se menciona su nombre pero el resultado fue cero alertas o detecciones.

 

USANDO MICROSOFT TEAMS PARA EXTRAER INFORMACIÓN SENSIBLE Y CONFIDENCIAL

HYAS menciona “Una vez que un dispositivo estaba infectado, necesitábamos una forma de recuperar los datos. Decidimos usar MS Teams, que, al igual que otras herramientas de comunicación y colaboración, puede ser explotado como un canal de exfiltración. En este contexto, un canal de exfiltración se refiere al método mediante el cual un atacante elimina o extrae datos de un sistema comprometido y los envía a una ubicación externa, como un canal de Teams controlado por el atacante a través de un webhook. Usando su capacidad de registro de teclas incorporada, BlackMamba puede recopilar información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales o confidenciales que un usuario ingresa en su dispositivo. Una vez que se capturan estos datos, el malware utiliza el webhook de MS Teams para enviar los datos recopilados al canal malicioso de Teams, donde se pueden analizar, vender en la dark web o utilizar para otros fines  de lucro”.

 

¿POR QUE DEBE PREOCUPARNOS?

En esencia, BlackMamba es un registrador de pulsaciones de teclas que utiliza técnicas impulsadas por IA para permanecer oculto de las soluciones de seguridad EDR. Lo que lo hace tan difícil de detectar es que se puede personalizar sobre la marcha sin tocar el disco duro donde reside. Esto permite a los ciber criminales adaptar rápidamente sus ataques para evadir mejor la detección.

Otra forma en que BlackMamba se destaca de otros keyloggers es su capacidad para identificar qué aplicaciones se están ejecutando en el sistema y adaptar su comportamiento en consecuencia. Por ejemplo, si un usuario está ejecutando una aplicación de oficina como Microsoft Word o Excel, BlackMamba capturará datos más rápidamente para obtener acceso a documentos confidenciales u hojas de cálculo almacenadas en la computadora.

Es una amenaza sofisticada que emplea varios métodos de ofuscación (incluido el empaquetado de código) para evitar ser detectado por el software antivirus y otras medidas de seguridad. También utiliza canales de comunicación cifrados para exfiltrar datos robados y comunicarse con servidores de comando y control, lo que dificulta aún más que los defensores detecten e interrumpan el ataque antes de que se produzcan daños.

Si deseas conocer si tu organización es vulnerable a ataques polimórficos que usan IA agenda tu sesión gratuita por correo electrónico: [email protected]

 

Fuentes: Estudio hecho por HYAS “Blackmamba: AI-Synthesized, Polymorphic Keylogger with On- the Fly program modification” : https://www.hyas.com/hubfs/Downloadable%20Content/HYAS-AI-Augmented-Cyber-Attack-WP-1.1.pdf