Gli attori malevoli nel campo della cybersecurity stanno utilizzando sempre più spesso il malware polimorfico, un’arma insidiosa che sfida i tradizionali meccanismi di difesa e rappresenta una sfida formidabile per organizzazioni e individui. Questo tipo di malware è in grado di mutare il proprio codice mantenendo intatta la sua funzionalità di base, utilizzando tecniche di oscuramento che ne alterano l’aspetto ad ogni iterazione. Questo rende la sua individuazione e analisi un compito arduo anche per i sistemi di sicurezza più avanzati.
Il malware polimorfico adatta la sua struttura, le sue caratteristiche e persino la sua firma digitale per camuffarsi e sfuggire alla rilevazione. Questa natura dinamica gli consente di eludere le soluzioni antivirus tradizionali, i sistemi di rilevamento delle intrusioni e altre misure di sicurezza che si basano su firme o modelli statici.
L’obiettivo principale del malware polimorfico è rimanere indetetcto durante la fase iniziale di infezione e sfuggire in modo persistente alle successive misure di sicurezza. Cambiando costantemente il suo codice e il suo comportamento, è in grado di ingannare efficacemente le soluzioni di sicurezza, prolungare la sua permanenza nel sistema di destinazione e stabilire una base per attività dannose come il furto di dati, il controllo remoto o ulteriori attacchi.
Per ottenere le sue capacità di mutazione, il malware polimorfico utilizza una serie di tecniche, tra cui crittografia, oscuramento del codice, auto-modifica e randomizzazione. La crittografia viene comunemente utilizzata per criptare il payload principale, rendendo difficile per le soluzioni di sicurezza analizzare o identificare il codice dannoso sottostante. Le tecniche di oscuramento del codice, come la riorganizzazione delle istruzioni o l’inserimento di istruzioni senza significato, complicano ulteriormente il processo di analisi generando molteplici versioni del malware che raggiungono lo stesso risultato.
Tradizionalmente, la scrittura di codice era appannaggio esclusivo di programmatori umani che scrivevano linee di codice con cura per dar vita alle applicazioni software. Tuttavia, con l’avvento dell’intelligenza artificiale generativa, il processo di scrittura del codice ha subito una profonda evoluzione. Sfruttando il potere del deep learning e delle reti neurali, i modelli di intelligenza artificiale sono in grado di analizzare grandi quantità di codice esistente e generare nuovo codice funzionale che presenta la stessa logica e struttura di quello scritto dagli umani.
L’utilizzo dell’intelligenza artificiale generativa nella scrittura del codice apre la strada alla creazione di malware altamente evasivi. Attraverso l’utilizzo di modelli di intelligenza artificiale come GPT-3.5 di OpenAI, è possibile generare codice dannoso che sfrutta le capacità di
generazione del codice per creare malware altamente evasivi. Immaginiamo un malware che si connette dinamicamente a domini affidabili noti per offrire intelligenza generativa, come openai.com o google.com, e richiede la creazione di funzionalità specifiche in codice ben strutturato.
Successivamente, il malware può importare il codice generato utilizzando riflessione o funzioni di caricamento dinamico. Questo approccio garantisce che il codice dannoso, essendo generato automaticamente, non risieda all’interno dell’oggetto infetto stesso, rendendolo praticamente indetectable dai sistemi di difesa tradizionali. Sfruttando questa tecnica, il malware ottiene un livello di trasparenza che sfugge alla rilevazione e rappresenta una sfida significativa per le misure di sicurezza.
