SUPERSQUALO
Dizionario IA

Malware con IA

[mòlguer]

Malware che usa IA per adattarsi all'ambiente target, evadere rilevamento, scegliere bersagli. Da concept di laboratorio (DeepLocker IBM 2018) a realtà commerciale 2024.

Il malware con IA è la generazione di software malevolo che integra capacità di apprendimento, adattamento, decisione autonoma. Per anni concept di laboratorio, oggi documentato in attacchi reali.

Capacità tipiche:

  • Polimorfismo intelligente: il malware muta il proprio codice per evadere antivirus signature-based.
  • Targeting: si attiva solo quando rileva l'ambiente target (geolocalizzazione, dipendente specifico, software specifico).
  • Evasion: rileva sandbox e analisi forense, si comporta da "innocuo" durante l'analisi.
  • Decision-making: sceglie cosa esfiltrare in base al valore percepito dei dati.
  • Self-propagation intelligente: si diffonde in modo non standard per evitare detection.

Casi storici e attuali:

  • DeepLocker (IBM 2018): proof of concept di malware che si attiva solo se la webcam riconosce un volto specifico. Mai distribuito ma cambio di paradigma.
  • Emotet evoluto: usa modelli di NLP per scrivere email di phishing su misura.
  • BlackMamba (HYAS Labs 2023): PoC keylogger che genera codice malevolo runtime via OpenAI API.
  • WormGPT, FraudGPT: LLM jailbroken venduti su forum criminali per produrre malware on demand.

Situazione 2024-2025:

  • La maggior parte del malware reale "AI-powered" è marketing dei vendor, non realtà.
  • Ma la barriera è bassa: un ragazzo con ChatGPT jailbroken scrive ransomware funzionante.
  • I gruppi APT (Advanced Persistent Threat) sponsorizzati da Stati usano IA in fase di reconnaissance, non ancora in payload mainstream.

Difese:

  • Behavioral detection: non guardare cosa è il malware, guardare cosa fa.
  • Zero trust: nessun accesso predefinito, segmentazione rete.
  • Hardening: ridurre la superficie d'attacco (patching, config sicure).
  • Monitoring continuo: il malware adattivo prima o poi si tradisce.