Los actores de amenazas pasan a ataques de phishing basados ​​en JavaScript


Según HP Wolf Security, los ciberdelincuentes están utilizando una gama más amplia de documentos maliciosos que nunca para difundir malware y obtener acceso inicial a los sistemas de destino.

Alex Holland, investigador principal de amenazas en HP Security Labs, dijo a Infosecurity que los actores de amenazas han cambiado recientemente su enfoque.

Hablando antes del lanzamiento del informe Threat Insights del segundo trimestre de 2024 de HP Wolf Security, dijo que ahora está priorizando las técnicas de phishing basadas en scripts sobre los enfoques tradicionales basados ​​en documentos maliciosos.

Utilizar archivos comprimidos en campañas de phishing

“En los últimos dos años, hemos visto un alejamiento del uso de documentos maliciosos, que son documentos de Microsoft Office que contienen macros maliciosas, hacia el aprovechamiento de lenguajes de secuencias de comandos interpretados como VBScript y JavaScript”, explicó Holland Masu.

Los actores de amenazas suelen combinar esta técnica de phishing de Living-Off-The-Land con la entrega de archivos cifrados.

“En este enfoque, en lugar de enviar un archivo adjunto que contiene macros maliciosas que infectan el sistema de destino, el actor de la amenaza inserta un código VBScript o JavaScript malicioso oculto junto con el archivo que la víctima desea descargar. Se le enviará un archivo que contiene el

Según el informe trimestral de HP Wolf Security, el 39,23 % de las entregas de malware en el segundo trimestre de 2024 provinieron de archivos comprimidos, un aumento en comparación con el 27,89 % en el período del informe anterior.

Tipos de entrega de malware más populares en el segundo trimestre de 2024. Fuente: Seguridad de HP Wolf

Holland considera que esta técnica es más avanzada que las técnicas tradicionales de phishing, posible gracias a la gran cantidad de formatos de archivos disponibles.

“Si bien la mayoría de la gente sólo conocerá los formatos principales como WinZip, 7-zip y WinRar, un nuevo informe muestra que los actores de amenazas están utilizando 50 formatos de archivos diferentes para implementar ataques de phishing. “Lo descubrimos”, dijo Holland. .

Dijo que una de las razones de esto es que Windows 11 admite más formatos de archivos que las versiones anteriores.

“Para reducir la superficie de ataque, recomendamos que las organizaciones bloqueen los formatos de archivos no utilizados”, dijo.

Evidencia de código malicioso generado por IA

Otros hallazgos del informe incluyen:

Las campañas de phishing utilizan una variedad de vectores para infectar a las víctimas, incluidos documentos PDF e imágenes SVG maliciosos. Una campaña de publicidad maliciosa que utiliza ChromeLoader apunta a Google Chrome y otros navegadores basados ​​en Chromium para dirigir a los usuarios a sitios web no deseados, a menudo sitios que promocionan anuncios o extensiones de navegador maliciosas que redireccionan. Primera evidencia de que HP Wolf utiliza IA generada en una campaña maliciosa.

Este último hallazgo apunta a una campaña dirigida a hablantes de francés que utilizan VBScript y JavaScript que los investigadores de HP Security Labs creen que se creó con la ayuda de GenAI.

Patrick Schlepfer, otro investigador principal de amenazas en HP Security Labs, explica cómo su equipo realizó esta evaluación: “La estructura del script, los comentarios que explican cada línea de código y la selección de nombres de funciones y variables en el idioma nativo sugieren fuertemente que el actor de la amenaza utilizó GenAI para crear el malware”.

Un ejemplo de código que parece haber sido escrito con la ayuda de GenAI. Fuente: Seguridad de HP Wolf

“Este ataque infecta a los usuarios con el malware AsyncRAT disponible de forma gratuita, un malware que roba información fácilmente y que puede registrar la pantalla y las pulsaciones de teclas de la víctima. “Esto representa una reducción de la barrera para infectar los puntos finales”, dijo Schlepfer.


https://www.infosecurity-magazine.com/news/threat-actors-shift-javascript/