- GenAI de Checkpoint se utilizó para aplicar ingeniería inversa semiautomática al bloqueador de robo de información XLoader
- Se descubrió código cifrado de IA, API expuestas y 64 dominios C2 secretos y trucos de suplantación de espacio aislado
- XLoader fue desarrollado a partir de Formbook; La IA aumenta la velocidad del análisis pero no reemplaza a los analistas de malware humanos
Es posible que los investigadores de ciberseguridad de Checkpoint Research hayan descifrado una de las familias de malware más crueles de la historia, gracias a la Inteligencia Artificial Generativa (GenAI).
En una nueva publicación de blog, los investigadores explican cómo analizar el malware es un proceso manual lento que requiere que los investigadores «descompriman archivos binarios, realicen un seguimiento de las actividades y creen scripts de descifrado». Analizar XLoader, un notorio ladrón de información que existe desde hace media década, es aún más difícil, porque no se puede aislar.
Fue entonces cuando Checkpoint recurrió a la IA en busca de ayuda. Utilizando ChatGPT, los investigadores combinaron dos flujos de trabajo complementarios: análisis estático basado en la nube y análisis en tiempo de ejecución asistido por MCP. El primero es exportar datos desde IDA Pro y dejar que la IA los analice en la nube. «El modelo identificó algoritmos de cifrado, identificó estructuras de datos e incluso generó scripts de Python para codificar segmentos de código», explicaron los investigadores.
Apertura del cargador X
La segunda IA está conectada a un depurador en vivo para extraer valores de tiempo de ejecución, como claves de cifrado, búferes cifrados y datos C2 en la memoria. «Este flujo de trabajo híbrido de IA transforma la tediosa ingeniería inversa manual en un proceso semiautomático que es rápido, repetible y fácil de compartir entre equipos».
Checkpoint quedó impresionado con los resultados. Afirman haber descifrado el código subyacente, expuesto las capas de cifrado, desenmascarado API ocultas, recuperado 64 dominios C2 secretos y descubierto un nuevo mecanismo de evasión de espacio aislado llamado «Secure Call Trampoline».
En resumen, la IA ayudó a descubrir cómo XLoader se esconde, se comunica y se protege, lo cual es información crítica en la lucha contra las infecciones. Aún así, Checkpoint enfatizó que a pesar del trabajo masivo, la IA «no está reemplazando a los analistas de malware», sino más bien «sobrealimentándolos» con velocidad, reproducibilidad, conocimiento y defensa.
Los primeros registros de XLoader se remontan a 2021, cuando Checkpoint Research lo encontró en la naturaleza, robando datos de usuarios de MacOS. Evolucionó a partir del infame malware FarmBook que había estado activo durante cinco años en ese momento. Si bien Formbook se desarrolló inicialmente como un simple registrador de teclas, se actualizó y se renombró como XLoader. Formbook se utilizó principalmente para usuarios de Windows.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News y Agréguenos como recurso preferido Para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto que tú también puedes Siga TechRadar en TikTok Reciba noticias, reseñas, videos en la bandeja de entrada y actualizaciones periódicas de nuestra parte WhatsApp también
