{"id":21457,"date":"2024-12-29T00:14:40","date_gmt":"2024-12-29T03:14:40","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21457"},"modified":"2024-12-30T22:34:25","modified_gmt":"2024-12-31T01:34:25","slug":"ofuscamento-em-malware-utilizando-ia","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/12\/exploits\/ofuscamento-em-malware-utilizando-ia\/","title":{"rendered":"Ofuscamento de malware utilizando IA"},"content":{"rendered":"\n<p><strong>A IA eleva o grau de ofuscamento em malware<\/strong><\/p>\n<p style=\"text-align: justify;\">A ciberseguran\u00e7a entrou em uma nova era com o uso de modelos de linguagem de grande escala (LLMs) para camuflar e ofuscar c\u00f3digos maliciosos. Pesquisadores da Palo Alto Networks alertaram que essa tecnologia est\u00e1 sendo usada para reescrever malware existente, dificultando sua detec\u00e7\u00e3o por ferramentas tradicionais, como a VirusTotal. Essa evolu\u00e7\u00e3o marca um ponto cr\u00edtico na luta entre criminosos cibern\u00e9ticos e especialistas em seguran\u00e7a, destacando como a intelig\u00eancia artificial (IA) pode ser tanto uma amea\u00e7a quanto uma solu\u00e7\u00e3o.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como LLMs est\u00e3o transformando malwares<\/strong><\/p>\n<p style=\"text-align: justify;\">Embora LLMs, como o GPT, n\u00e3o consigam criar malwares do zero, sua capacidade de manipular e transformar c\u00f3digos os torna poderosas ferramentas no arsenal dos criminosos. Exemplos de t\u00e9cnicas incluem:<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Renomea\u00e7\u00e3o de Vari\u00e1veis:<\/strong> Substituir nomes \u00f3bvios, como <code>malicious_code<\/code>, por termos gen\u00e9ricos, como <code>data_processor<\/code>.<\/li>\n<li style=\"text-align: justify;\"><strong>Reorganiza\u00e7\u00e3o de Linhas:<\/strong> Alterar a ordem das instru\u00e7\u00f5es sem mudar a funcionalidade, confundindo sistemas de an\u00e1lise est\u00e1tica.<\/li>\n<li style=\"text-align: justify;\"><strong>Inser\u00e7\u00e3o de Coment\u00e1rios ou C\u00f3digo Inofensivo:<\/strong> Adicionar linhas aparentemente leg\u00edtimas, como <code>console.log(\"Verificando sistema...\");<\/code>, para mascarar inten\u00e7\u00f5es maliciosas.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de c\u00f3digo ofuscado por IA<\/strong><\/p>\n<p><strong>C\u00f3digo original malicioso (detect\u00e1vel):<\/strong><\/p>\n<p>const fs = require(&#8216;fs&#8217;);<br \/>fs.writeFileSync(&#8216;\/var\/tmp\/attack.log&#8217;, &#8216;Data captured: &#8216; + sensitiveData);<\/p>\n<p>\u00a0<\/p>\n<p><strong>C\u00f3digo ofuscado (menos detect\u00e1vel):<\/strong><\/p>\n<p>const systemFile = require(&#8216;fs&#8217;);<br \/>let logPath = &#8216;\/var\/tmp\/logData.txt&#8217;;<br \/>systemFile[&#8216;writeFileSync&#8217;](logPath, &#8216;Info: &#8216; + sensitiveData);<br \/>\/\/ Log fake data for debugging<br \/>console.log(&#8216;File written successfully at: &#8216; + logPath);<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">A diferen\u00e7a entre os dois c\u00f3digos est\u00e1 na maneira como eles est\u00e3o estruturados e apresentados. A funcionalidade principal permanece a mesma, ambos escrevem dados sens\u00edveis em um arquivo, mas o segundo c\u00f3digo foi manipulado para parecer menos suspeito e mais dif\u00edcil de ser identificado como malicioso. Vamos detalhar as diferen\u00e7as.<\/p>\n<p>\u00a0<\/p>\n<p><strong>1. Renomea\u00e7\u00e3o de vari\u00e1veis<\/strong><\/p>\n<ul>\n<li><strong>C\u00f3digo Original:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">Usa nomes simples e diretos, como <code>fs<\/code> e <code>\/var\/tmp\/attack.log<\/code>, que indicam claramente a inten\u00e7\u00e3o potencialmente maliciosa.<\/li>\n<\/ul>\n<\/li>\n<li><strong>C\u00f3digo Ofuscado:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">Substitui <code>fs<\/code> por <code>systemFile<\/code> e <code>\/var\/tmp\/attack.log<\/code> por <code>logPath<\/code>, tornando o c\u00f3digo menos expl\u00edcito.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>2. Uso de propriedades din\u00e2micas<\/strong><\/p>\n<ul>\n<li><strong>C\u00f3digo Original:<\/strong>\n<ul>\n<li>Chama o m\u00e9todo <code>writeFileSync<\/code> diretamente.<\/li>\n<\/ul>\n<\/li>\n<li><strong>C\u00f3digo Ofuscado:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">Usa <code>systemFile['writeFileSync']<\/code>, que adiciona um n\u00edvel de indire\u00e7\u00e3o, dificultando a an\u00e1lise automatizada.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>3. Mudan\u00e7a no nome do arquivo de sa\u00edda<\/strong><\/p>\n<ul>\n<li><strong>C\u00f3digo original:<\/strong>\n<ul>\n<li>O nome do arquivo \u00e9 claramente relacionado a um poss\u00edvel ataque: <code>\/var\/tmp\/attack.log<\/code>.<\/li>\n<\/ul>\n<\/li>\n<li><strong>C\u00f3digo ofuscado:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">O arquivo \u00e9 renomeado para algo gen\u00e9rico: <code>\/var\/tmp\/logData.txt<\/code>. Isso disfar\u00e7a a verdadeira inten\u00e7\u00e3o do c\u00f3digo.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>4. Inclus\u00e3o de c\u00f3digo inofensivo (enganoso)<\/strong><\/p>\n<ul>\n<li><strong>C\u00f3digo Original:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">Foca exclusivamente em sua funcionalidade maliciosa.<\/li>\n<\/ul>\n<\/li>\n<li><strong>C\u00f3digo Ofuscado:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">Adiciona uma linha extra (<code>console.log<\/code>) para simular comportamento leg\u00edtimo, como um log de depura\u00e7\u00e3o.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>5. Estrutura mais complexa e leg\u00edvel<\/strong><\/p>\n<ul>\n<li><strong>C\u00f3digo Original:<\/strong>\n<ul>\n<li>\u00c9 direto e conciso, mas isso tamb\u00e9m facilita sua identifica\u00e7\u00e3o como malicioso.<\/li>\n<\/ul>\n<\/li>\n<li><strong>C\u00f3digo Ofuscado:<\/strong>\n<ul>\n<li style=\"text-align: justify;\">Adiciona camadas de abstra\u00e7\u00e3o e coment\u00e1rios que podem enganar analistas humanos e dificultar a detec\u00e7\u00e3o autom\u00e1tica.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Embora ambos os c\u00f3digos executem a mesma tarefa, o segundo foi claramente projetado para evitar a detec\u00e7\u00e3o por sistemas automatizados e parecer mais leg\u00edtimo para analistas. Essa t\u00e9cnica \u00e9 chamada de ofusca\u00e7\u00e3o, um m\u00e9todo frequentemente usado por desenvolvedores de malware para camuflar suas inten\u00e7\u00f5es.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Impacto nas taxas de detec\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Pesquisadores da Unidade 42 demonstraram como modelos de IA podem gerar milhares de variantes de scripts maliciosos. Em um teste, 10.000 variantes de JavaScript foram criadas a partir de um \u00fanico c\u00f3digo original, e 88% delas passaram despercebidas por ferramentas de detec\u00e7\u00e3o.<\/p>\n<p>Tecnologias como:<\/p>\n<ul>\n<li><strong>IUPG (Innocent Until Proven Guilty):<\/strong> Modelos que analisam scripts em busca de padr\u00f5es suspeitos.<\/li>\n<li><strong>PhishingJS:<\/strong> Espec\u00edfico para detectar scripts de phishing.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Essas ferramentas foram significativamente menos eficazes contra malwares ofuscados com a ajuda de LLMs.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Ferramentas Maliciosas Alimentadas por IA<\/strong><\/p>\n<p style=\"text-align: justify;\">Plataformas leg\u00edtimas, como OpenAI GPT, t\u00eam medidas para evitar uso mal-intencionado. No entanto, alternativas como WormGPT surgiram no mercado clandestino, permitindo a cria\u00e7\u00e3o de:<\/p>\n<ul>\n<li>Scripts de Phishing: E-mails personalizados e persuasivos para enganar v\u00edtimas.<\/li>\n<li>Variedades de Malware: Scripts adaptados para explorar vulnerabilidades espec\u00edficas.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de phishing com WormGPT:<\/strong><\/p>\n<p>&lt;html&gt;<br \/>&lt;body&gt;<br \/>&lt;h1&gt;Atualiza\u00e7\u00e3o de Seguran\u00e7a Obrigat\u00f3ria&lt;\/h1&gt;<br \/>&lt;p&gt;Clique no link abaixo para atualizar seu sistema:&lt;\/p&gt;<br \/>&lt;a href=&#8221;http:\/\/malicious-site.com&#8221;&gt;Atualizar Agora&lt;\/a&gt;<br \/>&lt;\/body&gt;<br \/>&lt;\/html&gt;<\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Esse c\u00f3digo HTML apresenta um exemplo cl\u00e1ssico de phishing ou engenharia social, onde a inten\u00e7\u00e3o \u00e9 enganar o usu\u00e1rio para clicar em um link malicioso. Aqui est\u00e1 uma explica\u00e7\u00e3o detalhada de como ele funciona:<\/p>\n<p>\u00a0<\/p>\n<p><strong>Estrutura do c\u00f3digo<\/strong><\/p>\n<p><strong>\u00a0\u00a0\u00a0 1.Cabe\u00e7alho (t\u00edtulo de engano):<\/strong><\/p>\n<div class=\"contain-inline-size rounded-md border-[0.5px] border-token-border-medium relative bg-token-sidebar-surface-primary dark:bg-gray-950\">\u00a0 \u00a0 \u00a0 \u00a0 &lt;h1&gt;Atualiza\u00e7\u00e3o de Seguran\u00e7a Obrigat\u00f3ria&lt;\/h1&gt;<\/div>\n<ul>\n<li style=\"text-align: left;\">Um t\u00edtulo chamativo, muitas vezes usado para criar um senso de urg\u00eancia ou medo.<\/li>\n<li style=\"text-align: left;\">Palavras como &#8220;Atualiza\u00e7\u00e3o de Seguran\u00e7a Obrigat\u00f3ria&#8221; levam o usu\u00e1rio a acreditar que h\u00e1 uma necessidade imediata de a\u00e7\u00e3o.<\/li>\n<\/ul>\n<p><strong>\u00a0\u00a0\u00a0\u00a0 2. Mensagem explicativa:<br \/><\/strong><\/p>\n<p>\u00a0 \u00a0 \u00a0 \u00a0 &lt;p&gt;Clique no link abaixo para atualizar seu sistema:&lt;\/p&gt;<\/p>\n<ul>\n<li>Um texto curto e direto que refor\u00e7a a urg\u00eancia.<\/li>\n<li>O objetivo \u00e9 convencer o usu\u00e1rio a clicar no link sem questionar.<\/li>\n<\/ul>\n<p><strong>3. Link malicioso:<\/strong><\/p>\n<p>\u00a0 \u00a0 \u00a0 \u00a0&lt;a href=&#8221;http:\/\/malicious-site.com&#8221;&gt;Atualizar Agora&lt;\/a&gt;<\/p>\n<ul>\n<li><strong>Visualiza\u00e7\u00e3o Simples:<\/strong> Mostra &#8220;Atualizar Agora&#8221;, que parece leg\u00edtimo.<\/li>\n<li><strong>Destino Real:<\/strong> Leva o usu\u00e1rio para <code>http:\/\/malicious-site.com<\/code>, que pode ser um site criado para:\n<ul>\n<li>Roubar informa\u00e7\u00f5es pessoais ou financeiras (credenciais, senhas).<\/li>\n<li>Infectar o dispositivo do usu\u00e1rio com malware.<\/li>\n<li>Enganar o usu\u00e1rio para realizar outras a\u00e7\u00f5es prejudiciais, como baixar arquivos maliciosos.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Como esse c\u00f3digo \u00e9 usado em ataques<\/strong><\/p>\n<p>Geralmente enviado por e-mail, mensagens instant\u00e2neas ou hospedado em sites comprometidos.<\/p>\n<p style=\"text-align: justify;\">Pode usar nomes de dom\u00ednio semelhantes aos de empresas leg\u00edtimas (ex.: <code>http:\/\/malicious-site.com<\/code> imitando <code>http:\/\/legit-site.com<\/code>).<\/p>\n<p><strong>Senso de urg\u00eancia:<\/strong><\/p>\n<p style=\"text-align: justify;\">Mensagens como &#8220;Atualiza\u00e7\u00e3o Obrigat\u00f3ria&#8221; pressionam o usu\u00e1rio a agir rapidamente, sem avaliar a legitimidade do link.<\/p>\n<p><strong>Disfarce:<\/strong><\/p>\n<p>A apar\u00eancia simples e direta do link engana usu\u00e1rios que n\u00e3o inspecionam o endere\u00e7o real.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Preven\u00e7\u00e3o contra esses ataques<\/strong><\/p>\n<p><strong>Verificar o Destino do Link:<\/strong><\/p>\n<ul>\n<li>Passe o mouse sobre o link para ver o endere\u00e7o real antes de clicar.<\/li>\n<\/ul>\n<p><strong>N\u00e3o Clicar em Links N\u00e3o Solicitados:<\/strong><\/p>\n<ul>\n<li style=\"text-align: justify;\">Sempre acesse sites oficiais digitando o endere\u00e7o no navegador, em vez de confiar em links recebidos.<\/li>\n<\/ul>\n<p><strong>Usar Ferramentas de Seguran\u00e7a:<\/strong><\/p>\n<ul>\n<li>Antiv\u00edrus atualizado e filtros de phishing podem bloquear p\u00e1ginas maliciosas.<\/li>\n<\/ul>\n<p><strong>Educa\u00e7\u00e3o:<\/strong><\/p>\n<ul>\n<li>Treinamentos sobre phishing para usu\u00e1rios, para que saibam reconhecer amea\u00e7as desse tipo.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">Este tipo de ataque \u00e9 simples, mas extremamente eficaz contra usu\u00e1rios desatentos, especialmente em contextos corporativos ou em situa\u00e7\u00f5es onde o atacante consegue simular confian\u00e7a.<\/p>\n<p>\u00a0<\/p>\n<p><strong>A IA como aliada na defesa cibern\u00e9tica<\/strong><\/p>\n<p style=\"text-align: justify;\">Apesar dos riscos, os mesmos avan\u00e7os em IA podem ser usados para fortalecer a seguran\u00e7a cibern\u00e9tica. Aplica\u00e7\u00f5es incluem:<\/p>\n<ul>\n<li><strong>Treinamento de Sistemas de Detec\u00e7\u00e3o:<\/strong> Gerar malwares simulados para melhorar algoritmos de identifica\u00e7\u00e3o.<\/li>\n<li><strong>An\u00e1lise Comportamental:<\/strong> Modelos que avaliam a\u00e7\u00f5es de scripts em tempo real, em vez de apenas inspecionar c\u00f3digo est\u00e1tico.<\/li>\n<li><strong>Automa\u00e7\u00e3o de Respostas a Incidentes:<\/strong> Ferramentas baseadas em IA podem mitigar ataques automaticamente ao detect\u00e1-los.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><strong>Exemplo de ferramenta de defesa:<\/strong><br \/>Um sistema treinado com IA pode interceptar e bloquear scripts ofuscados ao identificar padr\u00f5es de comportamento, como tentativas de grava\u00e7\u00e3o de arquivos em diret\u00f3rios sens\u00edveis.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o: <\/strong><\/p>\n<p><strong>Riscos e oportunidades no futuro da IA<\/strong><\/p>\n<p style=\"text-align: justify;\">O uso de IA na ofusca\u00e7\u00e3o de malware representa um desafio significativo, mas tamb\u00e9m traz oportunidades para a evolu\u00e7\u00e3o das defesas cibern\u00e9ticas. Empresas e governos precisam investir em:<\/p>\n<ul>\n<li><strong>Educa\u00e7\u00e3o continuada:<\/strong> Profissionais de TI devem entender como IA pode ser usada tanto para ataques quanto para defesas.<\/li>\n<li><strong>Colabora\u00e7\u00e3o internacional:<\/strong> Compartilhamento de dados sobre amea\u00e7as emergentes.<\/li>\n<li style=\"text-align: justify;\"><strong>Desenvolvimento \u00e9tico de IA:<\/strong> Garantir que ferramentas leg\u00edtimas tenham salvaguardas robustas contra uso indevido.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\">A batalha entre atacantes e defensores est\u00e1 mais sofisticada do que nunca. Com a IA desempenhando pap\u00e9is em ambos os lados, o futuro da ciberseguran\u00e7a depender\u00e1 da habilidade de especialistas em adaptar-se rapidamente \u00e0s novas din\u00e2micas e transformar amea\u00e7as em solu\u00e7\u00f5es.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/www.cisoadvisor.com.br\/ia-eleva-o-grau-de-ofuscamento-em-codigo\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.cisoadvisor.com.br\/ia-eleva-o-grau-de-ofuscamento-em-codigo\/<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>A IA eleva o grau de ofuscamento em malware A ciberseguran\u00e7a entrou em uma nova era com o uso de modelos de linguagem de grande escala (LLMs) para camuflar e ofuscar c\u00f3digos maliciosos. Pesquisadores da Palo Alto Networks alertaram que essa tecnologia est\u00e1 sendo usada para reescrever malware existente, dificultando sua detec\u00e7\u00e3o por ferramentas tradicionais, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21465,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21],"tags":[],"class_list":["post-21457","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21457","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21457"}],"version-history":[{"count":30,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21457\/revisions"}],"predecessor-version":[{"id":21491,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21457\/revisions\/21491"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21465"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21457"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21457"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}