Código de usar y tirar: por qué los hackers crean millones de "loaders" idénticos con distintos disfraces
El "promptmorfismo" convierte el trabajo de los antivirus en una inútil caza de fantasmas.
Los atacantes usan cada vez más modelos de lenguaje a gran escala para reescribir rápidamente código malicioso. Este enfoque recibe el nombre de «promptmorphism» y permite crear casi indefinidamente nuevas variantes de cargadores de fase inicial. Esa táctica dificulta la detección de campañas maliciosas, ya que las soluciones de defensa tradicionalmente buscan firmas repetitivas y similitudes entre archivos.
La mecánica del ataque sigue siendo la misma. El primer componente de la cadena se ejecuta en el dispositivo, realiza varias comprobaciones y descarga el módulo malicioso principal. Sin embargo, ahora ese cargador se considera una herramienta desechable. Un modelo de lenguaje a gran escala, según las indicaciones del autor de la campaña maliciosa, genera nuevas versiones del mismo código. Cada versión difiere ligeramente en la estructura, los nombres de funciones, el orden de las llamadas a la API y la lógica de ejecución, aunque la tarea final permanece igual.
El equipo Threat Research Team de Gen Digital describe sus observaciones sobre la ecosistema de «cargador como servicio», donde la misma capa de entrega cambia con regularidad y es utilizada por distintos grupos de atacantes. A través de ese cargador se propagaron, por ejemplo, las amenazas Wincir y Stealc. El análisis mostró que la lógica de la primera etapa se mantiene igual, pero el empaquetado cambia literalmente cada pocos días.
En distintas variantes la carga útil se colocó dentro del ejecutable en forma cifrada; después apareció una versión con codificación hexadecimal; más tarde la carga útil se dividió en varias partes que se ensamblaban durante la ejecución. En otra iteración los datos se movieron a una sección adicional del archivo PE o directamente al código ejecutable x64. En una de las muestras los desarrolladores incluso cambiaron el algoritmo criptográfico y usaron ChaCha en lugar de AES.
Este enfoque difiere del polimorfismo clásico. Antes, los atacantes cambiaban principalmente la representación del código: añadían empaquetadores, cifrado u ofuscación. El promptmorphism implica una reescritura completa de la implementación. Un modelo de lenguaje a gran escala puede generar la misma funcionalidad de una forma completamente distinta, lo que reduce la similitud a nivel de bytes y complica la agrupación automática de muestras maliciosas.
Al mismo tiempo, la tecnología no hace que los programas maliciosos sean invulnerables. La reescritura rápida del código suele provocar errores, reduce la estabilidad y añade funciones innecesarias. Como resultado, los expertos recomiendan centrarse no en el aspecto externo del cargador, sino en el comportamiento de toda la campaña: la infraestructura de red, la secuencia de peticiones, los mecanismos para obtener la segunda etapa y las características de la propagación.
Los autores del informe consideran el promptmorphism un signo de la mayor industrialización de las operaciones maliciosas. La generación automática de un número indefinido de variantes de la primera etapa permite a los atacantes ganar tiempo mientras las soluciones de defensa intentan vincular las muestras entre sí y construir reglas de detección sólidas.