BlackMamba: malware basato sull’intelligenza artificiale.

23 Marzo 202322 Marzo 2023 Giovanni Popolizio API OpenAI, BlackMamba, c2, C2 server, ChatGPT, cybersicurezza, giovanni popolizio, HYAS, LLM, sicurezza informatica

BlackMamba

Per dimostrare i poteri e le capacità del malware basato sull’intelligenza artificiale, alcuni ricercatori hanno sviluppato un sistema di attacco in cui il codice viene rigenerato dinamicamente in fase di esecuzione senza bisogno di un server C2. Questo processo, ha dato vita a un attacco maligno proof-of-concept denominato BlackMamba. Il malware è in grado di eludere qualsiasi sistema di rilevamento automatico della sicurezza senza sollevare alcuna bandiera rossa.

Nuove minacce.

L’introduzione di ChatGPT lo scorso anno ha segnato la prima volta in cui la sintesi di codice per reti neurali è stata resa liberamente disponibile alle masse. Questo strumento potente e versatile può essere utilizzato per qualsiasi cosa, dalla risposta a semplici domande alla composizione istantanea di opere scritte, fino allo sviluppo di programmi software originali, incluso il malware – quest’ultimo introduce il potenziale per una nuova pericolosa razza di minacce informatiche.

Le soluzioni di sicurezza tradizionali, come gli EDR, sfruttano sistemi di intelligenza dei dati a più livelli per combattere alcune delle minacce più sofisticate del giorno d’oggi. Inoltre la maggior parte dei controlli automatizzati afferma di prevenire modelli di comportamento nuovi o irregolari, ma in pratica questo avviene molto raramente. E con il malware polimorfico generato dall’intelligenza artificiale che diventa disponibile per i malintenzionati, la situazione non potrà che peggiorare.

C2?

L’infrastruttura di comando e controllo, nota anche come C2 o C&C, è l’insieme di strumenti e tecniche che gli aggressori utilizzano per mantenere la comunicazione con i dispositivi compromessi dopo lo sfruttamento iniziale. I meccanismi specifici variano notevolmente da un attacco all’altro, ma il C2 consiste generalmente in uno o più canali di comunicazione occulti tra i dispositivi di un’organizzazione vittima e una piattaforma controllata dall’aggressore. Questi canali di comunicazione vengono utilizzati per impartire istruzioni ai dispositivi compromessi, scaricare ulteriori payload dannosi e trasmettere i dati rubati all’avversario

BlackMamba

HYAS :“Per dimostrare di cosa sia capace il malware basato sull’intelligenza artificiale, abbiamo realizzato un semplice proof of concept (PoC) che sfrutta un modello linguistico di grandi dimensioni per sintetizzare funzionalità polimorfiche di keylogger al volo, modificando dinamicamente il codice benigno in fase di esecuzione, il tutto senza alcuna infrastruttura di comando e controllo per fornire o verificare le funzionalità del keylogger dannoso. Data la minaccia rappresentata da questo tipo di malware, abbiamo chiamato il nostro PoC BlackMamba, in riferimento al serpente mortale.”

I ricercatori dei laboratori HYAS hanno sviluppato questo malware veramente polimorfico sfruttando il Large Language Model (LLM), la tecnologia che alimenta ChatGPT.

BlackMamba è dotato di un keylogger integrato progettato per raccogliere informazioni sensibili dai dispositivi presi di mira. Queste includono nomi utente, password e numeri di carte di credito.
Una volta raccolti, invia i dati a un canale dannoso su Microsoft Teams.
Da lì, possono essere trasmessi al dark web o ad altri luoghi attraverso i suoi canali criptati sicuri, aggirando i comuni firewall e sistemi di rilevamento delle intrusioni.

Produzione del malware

Per sviluppare BlackMamba autonomo, i ricercatori hanno combinato insieme due concetti diversi.

Nel primo, un campione di malware è stato dotato di automazione intelligente in modo da non richiedere alcuna comunicazione C2. I dati rubati sono stati fatti arrivare a un server designato attraverso un canale di comunicazione legittimo come Microsoft Teams.
In secondo luogo, i ricercatori hanno utilizzato tecniche generative di codice AI (API OpenAI) per sintetizzare dinamicamente nuovo codice malware durante ogni esecuzione. (rendendo questo malware veramente polimorfico).
Inoltre, utilizza il pacchetto open-source Python Auto-py-to-exe, che consente agli sviluppatori di convertire il codice in file eseguibili autonomi, con supporto per Windows, Linux e macOS.

Il malware è stato testato con un rinomato sistema EDR e non ha prodotto alcun allarme o rilevamento.

In definitiva.

BlackMamba risulta essere un tipo di malware completamente nuovo. Esso genera ogni volta codice nuovo, unico e benigno utilizzando l’intelligenza artificiale. Dimostra che gli LLM possono essere abusati per generare automaticamente codice dannoso. Questo codice diviene più efficace di quello generato dall’uomo e in grado di eludere qualsiasi soluzione di sicurezza predittiva.

Arrivati a questo , è fondamentale che le organizzazioni e i professionisti della sicurezza stiano al passo con l’evoluzione delle minacce. Bisogna, ormai, adottare misure di sicurezza all’avanguardia per rimanere protetti , o cercare di farlo.