El último informe HP Threat Insights destaca cómo los ciberdelincuentes utilizan kits de malware con inteligencia artificial generativa para mejorar la eficacia de sus ataques. Estas herramientas están reduciendo el tiempo y la habilidad necesarios para crear componentes de ataque, lo que permite a los delincuentes centrarse probar nuevas técnicas para eludir la detección y engañar a las víctimas para infectar sus terminales, como con la incrustación de código malicioso dentro de imágenes.
Basándose en datos de millones de terminales que ejecutan HP Wolf Security, las campañas más destacadas identificadas por los investigadores son:
Índice de temas
Kits de malware prefabricados
Los investigadores de amenazas observaron grandes campañas de propagación del malware VIP Keylogger y 0bj3ctivityStealer que aprovechan las mismas técnicas y cargadores, lo que sugiere el uso de kits de malware para entregar diferentes cargas útiles. En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes de sitios web de alojamiento de archivos como archive.org, y utilizaron el mismo cargador para instalar la carga útil final. Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imagen parecen benignos cuando se descargan de sitios web conocidos, evitando la seguridad de la red como los proxies web que se basan en la reputación.
GenAI para crear documentos HTML maliciosos
Los investigadores también identificaron una campaña del troyano de acceso remoto (RAT) XWorm iniciada por el contrabando de HTML, que contenía código malicioso que descarga y ejecuta el malware. Cabe destacar que, de forma similar a una campaña AsyncRAT analizada en el trimestre anterior, el cargador presentaba rasgos distintivos que indican que puede haber sido escrito con la ayuda de IA, por ejemplo, incluyendo una descripción línea por línea y el diseño de la página HTML.
Los que hacen trampas en los videojuegos nunca prosperan
Los atacantes están comprometiendo las herramientas de trucos de videojuegos y los repositorios de modificaciones alojados en GitHub, añadiendo archivos ejecutables que contienen el malware Lumma Stealer. Este infostealer roba las contraseñas, monederos de criptomonedas e información del navegador de las víctimas. Los usuarios suelen desactivar las herramientas de seguridad para descargar y utilizar trucos, lo que les expone a un mayor riesgo de infección si no disponen de tecnología de aislamiento.
El informe, que examina datos del tercer trimestre de 2024, detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las herramientas de seguridad basadas en la detección, como:
- Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico.
- Los ejecutables fueron el tipo de malware más popular (40%), seguidos de los archivos comprimidos (34%).
- Se produjo un notable aumento de los archivos .lzh, que constituyeron el 11% de los archivos analizados, y la mayoría de los archivos .lzh maliciosos iban dirigidos a usuarios de habla japonesa.
Consejos del CTO de ventas de HP
Melchor Sanz, CTO de ventas de HP, asegura:” Los ciberdelincuentes están aumentando rápidamente la variedad, el volumen y la velocidad de sus ataques. Si se bloquea un documento Excel malicioso, en el siguiente ataque puede colarse un archivo comprimido. En lugar de intentar detectar métodos de infección que cambian rápidamente, las organizaciones deberían centrarse en reducir su superficie de ataque. Esto significa aislar y contener las actividades de riesgo, como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces y descargas del navegador, para reducir las posibilidades de una brecha”.
