[21/01/2025] HP Inc. ha publicado su último informe Threat Insights, en el que destaca cómo los actores de amenazas están utilizando kits de malware e inteligencia artificial generativa (GenAI) para mejorar la eficiencia de sus ataques. Según lo señalado en el comunicado de prensa, estas herramientas están reduciendo el tiempo y la habilidad necesarios para crear componentes de ataque, lo que permite a los atacantes centrarse en experimentar con técnicas para eludir la detección y engañar a las víctimas para que infecten sus endpoints, como incrustar código malicioso dentro de las imágenes.
"El informe proporciona un análisis de los ciberataques del mundo real, lo que ayuda a las organizaciones a mantenerse al día con las últimas técnicas que los ciberdelincuentes están utilizando para evadir la detección y violar las PC en el panorama cambiante de la ciberdelincuencia”, comentó Alex Holland, investigador principal de amenazas en el HP Security Lab, indicando que, basado en datos de millones de terminales que ejecutan HP Wolf Security, las campañas notables identificadas por los investigadores de amenazas de HP incluyen:
- Kits de malware por números: Los investigadores de amenazas de HP observaron grandes campañas que propagaban el malware VIP Keylogger y 0bj3ctivityStealer que aprovechaban las mismas técnicas y cargadores, lo que sugiere el uso de kits de malware para entregar diferentes cargas útiles. "En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes en sitios web de alojamiento de archivos como archive.org, además de usar el mismo cargador para instalar la carga útil final. Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imagen parecen benignos cuando se descargan de sitios web conocidos, evitando la seguridad de la red, como los proxies web que dependen de la reputación”, explicó el especialista.
- GenAI ayuda a crear documentos HTML maliciosos: Los investigadores también identificaron una campaña de troyano de acceso remoto (RAT) XWorm iniciada por el contrabando de HTML, que contenía código malicioso que descarga y ejecuta el malware. "En particular, al igual que una campaña de AsyncRAT analizada en el trimestre anterior, el cargador tenía señas de identidad que indican que puede haber sido escrito con la ayuda de GenAI, por ejemplo, incluyendo una descripción línea por línea y el diseño de la página HTML”, sostuvo Holland.
- Los tramposos de los juegos nunca prosperan: Los atacantes están comprometiendo las herramientas de trucos de videojuegos y los repositorios de modificación alojados en GitHub, agregando archivos ejecutables que contienen el malware Lumma Stealer. "Este ladrón de información raspa las contraseñas, las billeteras criptográficas y la información del navegador de las víctimas. Los usuarios desactivan con frecuencia las herramientas de seguridad para descargar y usar trucos, lo que los pone en mayor riesgo de infección sin la tecnología de aislamiento implementada”, anotó el ejecutivo.
Holland añadió que, al aislar las amenazas que han evadido las herramientas de detección en las PC, pero al mismo tiempo permitir que el malware detone de forma segura, HP Wolf Security tiene información específica sobre las últimas técnicas utilizadas por los ciberdelincuentes, e indicó que, el informe, que examina los datos del tercer trimestre del 2024, detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las herramientas de seguridad que dependen de la detección, como:
- Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click omitieron uno o más escáneres de puerta de enlace de correo electrónico.
- Los ejecutables fueron el tipo de entrega de malware más popular (40%), seguido de los archivos de almacenamiento (34%).
- Hubo un aumento notable en los archivos .lzh, que representaron el 11% de los archivos de almacenamiento analizados, y la mayoría de los archivos de almacenamiento .lzh maliciosos se dirigieron a usuarios de habla japonesa.
Franca Cavassa, CTOPerú