Hackers se han vuelto perezosos: ahora una red neuronal escribe sus virus (y deja comentarios tontos en el código)
Especialistas advierten sobre un nuevo malware con IA que ataca a sistemas Linux
Los especialistas de Ontinue analizaron la nueva herramienta maliciosa llamada VoidLink y llegaron a una conclusión inusual. Parece que su módulo de control fue creado no por una persona, sino por un sistema de generación de código basado en inteligencia artificial. Además, el programa resultó completamente funcional y puede instalarse de forma sigilosa en entornos Linux, robar credenciales y enviarlas a un servidor remoto.
VoidLink es un centro de control capaz de recopilar y crear módulos infectados para servidores y plataformas en la nube. Los investigadores analizaron el agente principal que se ejecuta en el sistema objetivo y proporciona acceso persistente. En su interior se encontraron múltiples indicios característicos de código generado automáticamente. En el binario quedaron notas de etapa y mensajes detallados de depuración. En programas maliciosos normales, esos detalles suelen eliminarse para reducir el riesgo de detección.
El agente puede determinar dónde se está ejecutando. Comprueba si el sistema funciona en la nube, dentro de un contenedor o en un servidor convencional, y adapta su comportamiento al entorno. Es compatible con varias plataformas en la nube importantes. El programa malicioso accede a las interfaces de metadatos para averiguar la región, el tipo de máquina virtual y otros parámetros del entorno.
Un módulo independiente se encarga de recopilar credenciales. Busca claves de acceso en variables de entorno, archivos de configuración y almacenes locales. Se verifican claves de acceso remoto, datos de sistemas de control de versiones, el historial de comandos de la shell y los datos guardados de los navegadores. En entornos con contenedores, el programa intenta extraer tokens de orquestación que podrían otorgar privilegios ampliados dentro del clúster.
Al detectar un contenedor, se cargan módulos adicionales para salir de él y aumentar privilegios. Además, VoidLink incluye un conjunto de herramientas de ocultación a nivel del núcleo del sistema. La técnica de camuflaje se elige según la versión del núcleo Linux. Se emplean distintas técnicas, desde la interceptación de llamadas al sistema hasta la sustitución de bibliotecas en modo de usuario.
La comunicación con el servidor de control está cifrada y se disfraza como tráfico web normal. El intercambio de datos se realiza por el protocolo HTTPS, y las solicitudes parecen llamadas a interfaces de programación comunes. Esto dificulta su detección en el análisis de red. En la muestra se encontró una dirección de red fija del nodo de control.
Los investigadores llamaron la atención sobre el estilo de implementación. El código contiene demasiados mensajes de servicio detallados, marcas formales de inicialización exitosa y delimitación de etapas de trabajo. Algunas etapas están numeradas con errores y omisiones. Tales artefactos son característicos de generación por partes sin una revisión manual posterior. Los autores experimentados de programas maliciosos, en cambio, suelen eliminar comentarios y diagnósticos innecesarios.
Los especialistas consideran que VoidLink muestra una nueva tendencia. Ahora es posible ensamblar módulos maliciosos completos para servidores y la nube mucho más rápido con sistemas de generación de código. La barrera de entrada se reduce, por lo que es probable que haya más herramientas de este tipo en los ataques. Para los equipos defensivos, es una señal de que deben monitorear con mayor atención muestras maliciosas inusuales y «demasiado bien documentadas».