HP publicó una nueva edición de su Informe de inteligencia sobre amenazas cibernéticas, el cual revela la forma en que los atacantes están utilizando la IA generativa para ayudar a escribir código malicioso. El equipo de investigación de amenazas cibernéticas de la compañía descubrió una amplia y refinada campaña de ChromeLoader, difundida a través de publicidad engañosa, que conduce a herramientas PDF falsas de aspecto profesional. De igual manera, identificó ciberdelincuentes que incorporan código malicioso en imágenes SVG.
El informe proporciona un análisis de los ataques, ayudando a las organizaciones a mantenerse al día con las últimas técnicas utilizadas por los ciberdelincuentes para evadir la detección y vulnerar las PCs en el cambiante panorama del ciberdelito. Con base en datos de millones de endpoints que ejecutan HP Wolf Security, los investigadores de amenazas cibernéticas de HP identificaron campañas destacadas como las siguientes:
- La IA generativa ayuda al desarrollo de malware en la naturaleza: Los ciberdelincuentes están utilizando la IA generativa para crear señuelos de phishing convincentes. El equipo identificó una campaña dirigida a francófonos que utilizaba VBScript y JavaScript, la cual se cree fue escrita con la ayuda de IA generativa. La estructura de los scripts, los comentarios que explican cada línea de código y la elección de los nombres de las funciones y las variables en el idioma nativo son fuertes indicios de que el actor de las amenazas utilizó Inteligencia Artificial generativa para crear el malware. Este tipo de ataque infecta a los usuarios con AsyncRAT, un tipo de malware que puede grabar las pantallas y las pulsaciones de teclas de la víctima.
- Hábiles campañas de publicidad engañosa conducen a herramientas PDF falsas pero funcionales: Las campañas de ChromeLoader son cada vez más grandes y refinadas. Estas se basan en publicidad engañosa que gira en torno a palabras clave en búsquedas populares para dirigir a las víctimas a sitios web que ofrecen diversas herramientas funcionales. Estas aplicaciones ocultan código malicioso en un archivo MSI, mientras que los certificados de firma de código válidos eluden las políticas de seguridad de Windows y las advertencias de usuario, aumentando así las posibilidades de infección. La instalación de estas aplicaciones falsas permite a los atacantes tomar el control de los navegadores de la víctima y redirigir las búsquedas a sitios controlados por el atacante.
- Este logotipo no es una buena opción: malware en imágenes de gráficos vectoriales escalables (SVG): Algunos ciberdelincuentes están desafiando la tendencia y pasan de los archivos HTML a imágenes vectoriales para contrabandear malware. Las imágenes vectoriales, que se usan ampliamente en el diseño gráfico, suelen utilizar el formato SVG basado en XML. Esta técnica hace creer a las víctimas que están observando una imagen, pero en realidad están interactuando con un formato de archivo complejo que lleva a la instalación de varios tipos de malware para el robo de información.
Patrick Schläpfer, investigador principal de amenazas cibernéticas en el laboratorio de seguridad de HP, comentó: «Hay muchas especulaciones sobre el uso de la IA por parte de los atacantes, pero las pruebas son escasas. De ahí que este hallazgo sea significativo. Por lo general, a los atacantes les gusta ocultar sus intenciones para evitar revelar sus métodos, así que este comportamiento indica que se utilizó un asistente de Inteligencia Artificial para ayudar a escribir su código. Estas capacidades reducen aún más la barrera de entrada para los actores de amenazas, lo que permite que los novatos sin habilidades de codificación escriban scripts, desarrollen cadenas de infección y lancen ataques más dañinos».
Este texto, que analiza los datos del segundo trimestre del calendario 2024, detalla la forma en que los ciberdelincuentes continúan diversificando sus métodos de ataque para eludir las distintas maneras de protección. Entre los datos obtenidos, se destacan que al menos el 12% de las amenazas de correo electrónico identificadas eludieron uno o más escáneres de puerta de enlace de correo electrónico, representando el mismo porcentaje que en el trimestre anterior. Además, se demuestra que dentro de los principales vectores de amenaza, se encuentran los archivos adjuntos de correo electrónico con un 61%, seguidos por las infecciones en dispositivos de almacenamiento extraíbles, como memorias USB y recursos compartidos, con un 21%. Este podio de amenazas se completa con las descargas de navegadores con un 18%.
Por último, este documento expresa que los archivos fueron el tipo de distribución de malware más popular con un 39%. Es preciso mencionar que un 26% de estos fueron archivos ZIP.
Quien también se expresó fue Ian Pratt, jefe global de seguridad para sistemas personales de HP: «Los actores de amenazas actualizan sus métodos constantemente, ya sea mediante el uso de IA para mejorar los ataques, o con la creación de herramientas funcionales pero que son maliciosas para eludir la detección. Por lo tanto, las empresas deben desarrollar resiliencia y cerrar tantas rutas de ataque comunes como sea posible. La adopción de una estrategia de defensa a profundidad, que incluya el aislamiento de actividades de alto riesgo, como abrir archivos adjuntos de correo electrónico o descargas web, ayuda a minimizar la superficie de ataque y neutralizar el riesgo de infección».
La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden eludir a otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los actores de amenazas.
Todos los datos presentados en el informe se obtuvieron con el consentimiento de usuarios de HP Wolf Security, desde abril hasta junio de 2024.
