HP ha presentado su último Informe de Análisis de Amenazas que revela cómo los atacantes están usando IA generativa para ayudar a escribir código malicioso. El equipo de investigación ha descubierto una sofisticada campaña de ChromeLoader que se propaga a través de publicidad maliciosa, dirigiendo a los usuarios a herramientas PDF falsas de apariencia profesional. Además, han identificado a ciberdelincuentes que incrustan código malicioso en imágenes SVG.
Evadiendo la detección y comprometiendo los ordenadores
El informe ofrece un análisis detallado de los ciberataques en el mundo real, ayudando a las organizaciones a mantenerse actualizadas con las últimas técnicas que los ciberdelincuentes emplean para evadir la detección y comprometer los ordenadores en el dinámico panorama de la ciberdelincuencia. Basándose en datos de millones de endpoints que ejecutan HP Wolf Security, los investigadores de amenazas de HP han identificado varias campañas destacadas, entre las cuales se incluyen:
- La IA generativa ayuda al desarrollo de malware: Los ciberdelincuentes ya utilizan GenAI para crear ataques phising de suplantación de identidad convincentes, pero hasta la fecha no hay muchas pruebas de que las amenazas utilicen herramientas de GenAI para escribir código. La estructura de los scripts, los comentarios que explican cada línea de código y la elección de nombres de funciones y variables en el idioma nativo, son indicios claros de que el autor de la amenaza utilizó GenAI para crear el malware. El ataque infecta a los usuarios con AsyncRAT, un malware gratuito y fácilmente accesible que puede registrar las pantallas y las pulsaciones de teclado de las víctimas. Esta actividad demuestra cómo GenAI está facilitando que los ciberdelincuentes infecten endpoints.
- Campañas publicitarias malintencionadas que conducen a herramientas PDF falsas pero funcionales: Las campañas de ChromeLoader son cada vez mayores y más sofisticadas, y se basan en la publicidad maliciosa en torno a palabras clave de búsqueda populares para dirigir a las víctimas a sitios web bien diseñados que ofrecen herramientas funcionales como lectores y convertidores de PDF. Estas aplicaciones funcionales ocultan código malicioso en un archivo MSI, mientras que los certificados de firma de código válidos eluden las políticas de seguridad de Windows y las advertencias a los usuarios, lo que aumenta las posibilidades de infección. La instalación de estas aplicaciones falsas permite a los atacantes hacerse con el control de los navegadores de las víctimas y redirigir las búsquedas a sitios controlados por los atacantes.
- Ocultar programas maliciosos en imágenes de gráficos vectoriales escalables (SVG): Algunos ciberdelincuentes están desafiando la tendencia al pasar de los archivos HTML a las imágenes vectoriales para el contrabando de programas maliciosos. Las imágenes vectoriales, muy utilizadas en diseño gráfico, suelen utilizar el formato SVG basado en XML. Como los SVG se abren automáticamente en los navegadores, cualquier código JavaScript incrustado se ejecuta al ver la imagen. Mientras las víctimas piensan que están viendo una imagen, están interactuando con un complejo formato de archivo que conduce a la instalación de múltiples tipos de malware de tipo infostealer.
Patrick Schläpfer, Investigador Principal de Amenazas del Laboratorio de Seguridad de HP, ha comentado: “Las especulaciones sobre el uso de IA por parte de los atacantes son numerosas, y pese a que las pruebas han sido limitadas, hace que este hallazgo sea significativo. Generalmente, los atacantes prefieren ocultar sus intenciones para no revelar sus métodos, por lo que este comportamiento sugiere que se utilizó un asistente de IA para ayudar a escribir el código. Estas capacidades reducen aún más la barrera de entrada para los actores de amenazas, permitiendo que novatos sin conocimientos de codificación puedan escribir scripts, desarrollar cadenas de infección y lanzar ataques más dañinos”.
Al aislar las amenazas que han eludido las herramientas de detección en los PC, pero permitiendo que el malware se ejecute de forma segura, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 40.000 millones de adjuntos de correo electrónico, páginas web y archivos descargados sin que se haya informado de ninguna infracción.
El informe, que examina los datos del segundo trimestre de 2024, detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las políticas de seguridad y las herramientas de detección, tales como:
- Al menos el 12% de las amenazas de correo electrónico detectadas por HP Sure Click eludieron uno o más detecciones de seguridad de tipo gateway de correo electrónico, igual que en el trimestre anterior.
- Los principales vectores de amenaza fueron los archivos adjuntos en correos electrónicos (61 %), las descargas desde navegadores (18 %) y otros vectores de infección, como el almacenamiento extraíble (memorias USB) y los archivos compartidos (21 %).
- Los archivos fueron el método de entrega de malware más común (39 %), de los cuales el 26 % eran archivos ZIP.