Los investigadores de ciberseguridad han revelado que los asistentes de inteligencia artificial (IA) que admiten la navegación web y las funciones de recuperación de URL podrían convertirse en relés sigilosos de comando y control (C2). Esta técnica podría permitir a los atacantes infiltrarse en comunicaciones corporativas legítimas y evadir la detección.
Esta técnica de ataque se ha demostrado contra Microsoft Copilot y xAI Grok y Check Point la ha denominado AI como proxy C2.
La firma de ciberseguridad dice que aprovecha el «acceso web anónimo combinado con visualización y mensajes de resumen». «Los mismos mecanismos también permiten operaciones de malware asistidas por IA, como generar flujos de trabajo de reconocimiento, programar las acciones del atacante y decidir dinámicamente ‘qué hacer a continuación’ durante una infracción».
Este desarrollo señala otra evolución importante en la forma en que los actores de amenazas explotan los sistemas de inteligencia artificial, no solo para amplificar o acelerar varias etapas del ciclo del ciberataque, sino también para aprovechar las API para generar dinámicamente código en tiempo de ejecución que pueda adaptar su comportamiento en función de la información obtenida de los hosts comprometidos y evadir la detección.
Las herramientas de inteligencia artificial ya están actuando como un multiplicador de fuerza para los adversarios, permitiéndoles delegar pasos clave en sus campañas, como realizar reconocimientos, escanear vulnerabilidades, elaborar correos electrónicos de phishing convincentes, crear identidades sintéticas, depurar código y desarrollar malware. Pero la IA como proxy C2 va un paso más allá.
Básicamente, aprovecha las capacidades de navegación web y recuperación de URL de Grok y Microsoft Copilot para recuperar URL controladas por atacantes y devolver respuestas a través de una interfaz web. Básicamente, esto lo transforma en un canal de comunicación bidireccional para aceptar comandos emitidos por el operador y canalizar los datos de la víctima.
En particular, todos funcionan sin la necesidad de claves API o cuentas registradas, lo que hace que los enfoques tradicionales como revocar claves y suspender cuentas sean inútiles.
Desde otra perspectiva, este enfoque no es diferente de las campañas de ataque que utilizan servicios confiables como armas para la distribución de malware o C2. Esto también se conoce como Living Off Trust Site (LOTS).
Sin embargo, existen requisitos previos importantes para que todo esto suceda. El atacante ya debe haber comprometido la máquina e instalado el malware por otros medios. Usando Copilot o Grok como canal C2 mediante un mensaje especialmente diseñado, el agente de IA luego se conecta a la infraestructura controlada por el atacante y envía una respuesta al malware que contiene comandos que se ejecutarán en el host.
Check Point también señaló que los atacantes podrían ir más allá de la generación de comandos y utilizar agentes de inteligencia artificial para idear estrategias de evasión y decidir el próximo curso de acción entregando detalles del sistema para verificar si vale la pena explotarlo.
«Poder utilizar servicios de IA como una capa de transporte sigilosa significa que la misma interfaz también puede transmitir mensajes y resultados de modelos que sirven como motores externos de toma de decisiones, proporcionando un trampolín para los implantes impulsados por IA y C2 estilo AIOps que automatizan la clasificación, la selección de objetivos y las opciones operativas en tiempo real», afirmó Check Point.
Esta divulgación se produce varias semanas después de que la Unidad 42 de Palo Alto Networks demostrara una nueva técnica de ataque que puede convertir una página web aparentemente inocua en un sitio de phishing mediante el uso de llamadas API del lado del cliente a un servicio confiable de modelo de lenguaje a gran escala (LLM) para generar dinámicamente JavaScript malicioso en tiempo real.
Esta técnica es similar a un ataque de reensamblaje de última milla (LMR), donde el malware se introduce de contrabando a través de la red a través de canales no monitoreados como WebRTC o WebSockets, directamente al navegador de la víctima, evitando efectivamente los controles de seguridad en el proceso.
Los investigadores de la Unidad 42 Shehroze Farooqi, Alex Starov, Diva-Oriane Marty y Billy Melicher dijeron: «Un atacante podría utilizar mensajes cuidadosamente diseñados para eludir las barreras de seguridad de la IA y engañar al LLM para que devuelva fragmentos de código malicioso». «Estos fragmentos se devuelven a través de la API del servicio LLM, se ensamblan y ejecutan en el navegador de la víctima en tiempo de ejecución para generar una página de phishing completamente funcional».
Source link
