DeepLocker: malware que utiliza Inteligência Artificial e é ativado através do reconhecimento facial

DeepLocker: malware que utiliza Inteligência Artificial e é ativado através do reconhecimento facial

Resultados de uma prova de conceito demonstraram como a Inteligência Artificial combinada com técnicas para o desenvolvimento de malware pode promover um novo tipo de código malicioso que permanece escondido e é ativado através do uso de reconhecimento facial.

Resultados de uma prova de conceito demonstraram como a Inteligência Artificial combinada com técnicas para o desenvolvimento de malware pode promover um novo tipo de código malicioso que permanece escondido e é ativado através do uso de reconhecimento facial.

Os pesquisadores da IBM demonstraram, através do desenvolvimento de uma nova variante de ferramentas de ataques altamente direcionadas através do uso de Inteligência Artificial (por vezes mencionada pela sigla em português IA ou pela sigla em inglês AI – artificial intelligence), como alguns modelos de IA existentes combinados com técnicas atualmente utilizadas para o desenvolvimento de malware pode promover a criação de uma nova variante de um código malicioso.

Os pesquisadores chamaram este grupo de ferramentas como DeepLocker e o apresentaram na semana passada na Black Hat USA 2018, onde explicaram que surgiu como uma prova de conceito, já que na medida que os cibercriminosos e as ameaças digitais evoluem e se aproveitam da IA, os profissionais e indústria de segurança devem compreender quais são os mecanismos e as implicações do uso da Inteligência Artificial com o objectivo de desenvolver medidas de segurança apropriadas.

DeepLocker é uma malware evasivo que utiliza inteligência artificial e permanece escondido até que possa atingir a uma vítima específica, desenvolvendo suas ações maliciosas no momento em que o modelo de inteligência artificial aplicada detecta a vítima através de indicadores tais como, reconhecimento facial, geolocalização ou reconhecimento de voz. Desta forma, o malware permanece escondido e evita ser detectado pelas várias soluções de segurança até o momento preciso em que reconhece o alvo de ataque. Um dos principais perigos que representa essa ameaça que trabalha com IA é o poder de afetar milhões de sistemas sem ser detectada.

Segundo os pesquisadores, uma das particularidades do DeepLocker é que a implementação de inteligência artificial para determinar sua ativação faz com que o ataque seja praticamente impossível de desbloquear usando engenharia reversa, uma vez que após conseguir atacar o alvo apenas o payload pode ser desbloqueado.

Por outro lado, a categoria de malware do DeepLocker contrasta bastante com as técnicas de evasão utilizadas pelos malwares qua aparecem ativos. Enquanto todos os outros tentam ficar escondidos, nenhum é tão eficaz como o DeepLocker, garantem os especialistas.

Para demonstrar as capacidades do DeepLocker, os pesquisadores desenvolveram uma prova de conceito na qual esconderam o conhecido ransomware WannaCryptor em um aplicativo para videoconferência.

Dadas as características de ativação do malware, DeepLocker não executa o ransomware no sistema enquanto não reconhece o rosto da vítima, o que pode ser conseguido usando fotos públicas da vítima.

Os especialistas da IBM explicam que apesar de até o momento não existirem registros do tipo de malware como o DeepLocker, ferramentas de IA estão disponíveis de forma pública, bem como as técnicas maliciosas implementadas. Isto significa que é apenas uma questão de tempo para que seja possível ver casos em que os cibercriminosos combinam essas técnicas, inclusive os especialistas garantem que não se surpreenderiam caso tomassem conhecimento de que este tipo de ataque está sendo desenvolvido atualmente.

“Enquanto os cibercriminosos continuam apoiando a maioria dos ataques em campanhas massivas de Engenharia Social, as campanhas direcionadas que visam usuários específicos aumentaram nos últimos meses. Atualmente, podemos observar campanhas de Engenharia Social via e-mail direcionado, com alto grau de especificidade, que utilizam assuntos muito específicos – como vimos em campanhas de espionagem usando malware como Quasar e Sobaken. Embora esses tipos de campanhas sejam geralmente eficazes, o fato de vermos esses tipos de casos implica que novas perspectivas estão abertas para que os cibercriminosos propaguem suas ameaças. Sem dúvida, o uso de AI pode ser uma alternativa utilizada em campanhas mais complexas e, portanto, temos a necessidade de pensar em segurança como uma estratégia em camadas e não apenas como a instalação de uma solução de segurança”, destacou o Head of Awareness & Research do Laboratório da ESET América Latina, Camilo Gutiérrez.

Confira a apresentação completa produzida pelo grupo de pesquisadores da IBM para a Black Hat USA 2018.

Discussão