Los ciberdelincuentes utilizan kits de malware y GenAI en sus ataques

  • Endpoint
desarrollador, ciberdelincuente

A medida que los kits de malware listos para usar están más disponibles, son más asequibles y fáciles de usar, incluso los novatos con habilidades y conocimientos limitados pueden montar una cadena de infección eficaz. Si se añade GenAI para escribir los scripts, las barreras de entrada se reducen aún más.

HP ha publicado su último informe Threat Insights, en el que destaca cómo los ciberdelincuentes utilizan cada vez más kits de malware e inteligencia artificial generativa para mejorar la eficacia de sus campañas. Estas herramientas están reduciendo el tiempo y la habilidad necesarios para crear componentes de ataque, lo que permite a los delincuentes centrarse probar nuevas técnicas para eludir la detección y engañar a las víctimas para infectar sus terminales, como con la incrustación de código malicioso dentro de imágenes.

Los investigadores de amenazas de HP observaron grandes campañas de propagación del malware VIP Keylogger y 0bj3ctivityStealer que aprovechan las mismas técnicas y cargadores, lo que sugiere el uso de kits de malware para entregar diferentes cargas útiles. En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes de sitios web de alojamiento de archivos como archive.org, y utilizaron el mismo cargador para instalar la carga útil final. Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imagen parecen benignos cuando se descargan de sitios web conocidos, evitando la seguridad de la red como los proxies web que se basan en la reputación.

Los investigadores también identificaron una campaña del troyano de acceso remoto (RAT) XWorm iniciada por el contrabando de HTML, que contenía código malicioso que descarga y ejecuta el malware. El cargador presentaba rasgos distintivos que indican que puede haber sido escrito con la ayuda de GenAI, por ejemplo, incluyendo una descripción línea por línea y el diseño de la página HTML.

Los atacantes están comprometiendo las herramientas de trucos de videojuegos y los repositorios de modificaciones alojados en GitHub, añadiendo archivos ejecutables que contienen el infostealer Lumma Stealer, que roba las contraseñas, monederos de criptomonedas e información del navegador de las víctimas. Los usuarios suelen desactivar las herramientas de seguridad para descargar y utilizar trucos, lo que les expone a un mayor riesgo de infección si no disponen de tecnología de aislamiento.

“Las campañas analizadas son una prueba más de la mercantilización de la ciberdelincuencia”, comenta Alex Holland, investigador principal de Amenazas en el Laboratorio de Seguridad de HP. “A medida que los kits de malware prefabricados o listos para usar están más disponibles, son más asequibles y fáciles de usar, incluso los novatos con habilidades y conocimientos limitados pueden montar una cadena de infección eficaz. Si se añade GenAI para escribir los scripts, las barreras de entrada se reducen aún más. Esto permite a los grupos concentrarse en engañar a sus objetivos y elegir la mejor carga útil para el trabajo, por ejemplo, dirigiéndose a los jugadores con repositorios de trucos maliciosos”.

Más ataques, y más diversos y veloces

El informe detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las herramientas de seguridad basadas en la detección. En este sentido, al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico.

Los ejecutables fueron el tipo de malware más popular (40%), seguidos de los archivos comprimidos (34%). También se produjo un notable aumento de los archivos .lzh, que constituyeron el 11% de los archivos analizados, y la mayoría de los archivos .lzh maliciosos iban dirigidos a usuarios de habla japonesa.

Melchor Sanz, CTO de ventas de HP, afirma que “los ciberdelincuentes están aumentando rápidamente la variedad, el volumen y la velocidad de sus ataques. Si se bloquea un documento Excel malicioso, en el siguiente ataque puede colarse un archivo comprimido. En lugar de intentar detectar métodos de infección que cambian rápidamente, las organizaciones deberían centrarse en reducir su superficie de ataque. Esto significa aislar y contener las actividades de riesgo, como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces y descargas del navegador, para reducir las posibilidades de una brecha”.