Google Descobre Malware que Usa IA para Evoluir

O Google divulgou um relatório revelando a descoberta de novas famílias de malware que utilizam inteligência artificial (IA) generativa para modificar seu código durante a execução, visando roubar dados e evitar a detecção por sistemas de segurança. Essa descoberta marca um ponto de inflexão na cibersegurança, com a IA sendo usada não apenas como ferramenta de defesa, mas também como um componente ofensivo em ataques cibernéticos.

Malwares Identificados

Entre os exemplos de malware identificados, destacam-se:

• PromptFlux: Utiliza a API do Gemini para reescrever seu próprio código-fonte, dificultando a detecção por sistemas de defesa.
• PromptSteal: Acessa um modelo de linguagem hospedado no Hugging Face para gerar comandos a serem executados na máquina infectada, com o objetivo de extrair dados da vítima.
• PromptLock: Criado como parte de um estudo acadêmico para avaliar a capacidade de modelos de linguagem de grande porte (LLMs) em planejar e executar ataques de ransomware.
• FruitShell: Escapa de detecções e análises por sistemas baseados em IA.
• QuietVault: Ladrão de credenciais que visa contas no GitHub e NPM, aprimorado com IA para ampliar a varredura no dispositivo infectado.

Veja também:

• Carecode: Fundador do Dr.consulta Lança IA para Automatizar Clínicas
• Colapso de Modelo: Por que a degradação da IA preocupa empresas

Como o PromptFlux Funciona

O PromptFlux, escrito em VBScript, utiliza um componente chamado “Thinking Robot”. Este módulo contata periodicamente a API do Gemini, solicitando uma nova versão do script e armazena o código gerado na pasta de inicialização do sistema, garantindo persistência mesmo após reinicializações. Uma variante detectada tenta reescrever seu código-fonte inteiro a cada hora.

Avaliação de Especialistas

Apesar das novas técnicas, especialistas em cibersegurança consideram que, por enquanto, o risco é limitado. Marcus Hutchins, conhecido por sua atuação contra o ransomware WannaCry, afirmou que os prompts observados são fracos e não especificam como driblar antivírus. Kevin Beaumont fez uma análise semelhante, indicando que várias amostras falham ao rodar e não representam perigo para ambientes com controles de segurança básicos.

Grupos APT Estatais Abusando do Gemini

Grupos de hackers patrocinados por governos também estão utilizando LLMs como o Gemini para operações ofensivas mais sofisticadas. Irã, China, Rússia e Coreia do Norte estão entre os países que abusam do Gemini para criar iscas de phishing, depurar malware e transformar linguagem natural em SQL, permitindo a mineração automatizada de dados pessoais.

Implicações para a Cibersegurança

A descoberta do Google reforça a necessidade de repensar a proteção digital, uma vez que os métodos tradicionais de antivírus e detecção baseada em assinaturas podem não ser suficientes frente a essa nova geração de malware que usa IA. A automodificação “just-in-time” permite que o malware crie novos métodos de ofuscação, adapte seu comportamento conforme o ambiente da vítima e execute ataques personalizados com base em vulnerabilidades locais.

Malware Polimórfico e Metamórfico Aprimorado por IA

A integração da inteligência artificial eleva as técnicas de malware polimórfico e metamórfico a um nível de sofisticação e eficácia sem precedentes. O malware polimórfico e metamórfico visa alterar o código malicioso em cada infecção para evitar a detecção baseada em assinaturas. A IA automatiza ataques, analisa dados em escala e gera código malicioso adaptado às defesas dos alvos.

Conclusão

Apesar de o impacto real ainda ser limitado, a ameaça de malware com IA é real e está evoluindo. A capacidade de se adaptar e aprender torna esses malwares mais difíceis de detectar e neutralizar, exigindo uma abordagem proativa e adaptável na cibersegurança.