Pesquisadores desenvolveram um modelo de inteligência artificial (IA) capaz de identificar ataques de DLL hijacking. Este é um tipo de ataque que permite que cibercriminosos se escondam dentro de programas legítimos sem levantar suspeitas. Desenvolvida pela Kaspersky, a IA foi treinada com milhões de arquivos e eventos reais para distinguir atividades legítimas de tentativas de invasão — e já começa a mostrar bons resultados na detecção de ataques antes invisíveis.O que é DLL hijacking?O nome pode parecer técnico, mas o conceito é simples. Os programas de computador costumam usar arquivos de apoio chamados DLLs (Dynamic Link Libraries). Esses arquivos funcionam como pequenas “bibliotecas” com funções prontas, por exemplo, para imprimir um documento, exibir uma imagem ou reproduzir um som.O problema é que essas bibliotecas também podem ser exploradas por criminosos. No DLL hijacking, o invasor substitui a DLL original por uma versão falsa, com código malicioso. O programa, acreditando estar usando o arquivo certo, executa sem querer as instruções do atacante.O golpe é difícil de flagrar porque o código malicioso roda dentro de um aplicativo legítimo. Para os sistemas de segurança, parece que está tudo normal. E monitorar constantemente todos os processos confiáveis deixaria o computador lento e sobrecarregado.Como funciona a identificação por Machine LearningÉ aí que entra o aprendizado de máquina — uma vertente da IA capaz de encontrar padrões em grandes volumes de dados. Em vez de depender apenas de regras fixas ou listas de vírus conhecidos, os modelos conseguem “aprender” a diferença entre comportamentos normais e suspeitos.O modelo apresentado pelos pesquisadores foi treinado com milhões de exemplos de programas e bibliotecas, alguns legítimos, outros maliciosos, para reconhecer sinais sutis de manipulação. Entre os indícios analisados estão DLLs salvas em pastas incomuns, executáveis com nomes alterados, ausência de assinaturas digitais (um tipo de selo que confirma a origem do arquivo), e mudanças no tamanho ou na estrutura do arquivo.De acordo com a empresa, a cada geração de treinamento, a IA foi ficando mais precisa. As versões mais recentes atingiram uma taxa de acerto de cerca de 80%, com uma queda significativa na quantidade de falsos alarmes.Segundo os autores do estudo, o sistema já analisa milhões de eventos diários, cruzando dados de diferentes arquivos e processos para calcular a probabilidade de uma tentativa de DLL hijacking. Os casos com maior risco são priorizados por analistas humanos, que fazem a verificação e alimentam novamente o modelo com novas informações, um ciclo contínuo de aprendizado.A tecnologia também vem sendo testada em ferramentas corporativas de monitoramento de segurança. Em projetos-piloto, ajudou a identificar e bloquear incidentes reais que antes poderiam passar despercebidos.Para ler mais notícias como essa, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e em nosso canal do YouTube.