Check Point ha lanzado DeepDLL, un motor impulsado por inteligencia artificial (IA) diseñado para detectar y bloquear amenazas de malware ocultas en archivos DLL (Dynamic Link Library). Así, refuerza la protección contra técnicas avanzadas como el secuestro de DLL (DLL Hijacking), la carga lateral (DLL Side-Loading) y la inyección de DLL (DLL Injection).
Los ciberdelincuentes recurren cada vez más a los archivos DLL, un tipo de fichero esencial en sistemas Windows que contienen código y datos utilizados simultáneamente por varios programas. Su versatilidad y uso generalizado los convierten en un objetivo tentador para los atacantes, quienes los manipulan para ejecutar código malicioso y ocultar sus actividades en procesos legítimos.
Las técnicas más comunes incluyen:
- DLL Hijacking: ocurre cuando un atacante coloca una DLL maliciosa con el mismo nombre que una legítima en una ubicación que el sistema busca antes de llegar a la ubicación de la DLL legítima.
- DLL Side-Loading: similar al secuestro, esta técnica consiste en engañar a una aplicación para que cargue una DLL maliciosa colocándola en su ruta de búsqueda, aprovechando la confianza que la tiene en su propio directorio.
- DLL Injection: un enfoque directo en el que el código malicioso se inyecta en un proceso en ejecución a través de una DLL, lo que permite al atacante desarrollar su código en el contexto de otra aplicación.
DeepDLL: el motor de IA de Check Point especializado para amenazas avanzadas
Para combatir estas técnicas evasivas, Check Point ha desarrollado DeepDLL, un modelo de IA que detecta patrones maliciosos en archivos DLL analizando tanto su contenido como su contexto. Este motor utiliza ThreatCloud AI para identificar características maliciosas ocultas, logrando una precisión del 99,7 % con un número mínimo de falsos positivos.
DeepDLL examina metadatos, estructuras compiladas y cadenas de ataque asociadas a las DLL, analizando su origen, ya sea un correo electrónico, un archivo comprimido o una descarga de un ejecutable.
