Los investigadores de amenazas de HP han identificado una campaña dirigida a hablantes de francés que utiliza malware que parece haber sido creado con GenAI. La estructura del malware, los comentarios que explican cada línea de código y los nombres y variables de las funciones en el idioma nativo indican que los actores de amenazas utilizaron GenAI para crear el malware. Esta actividad muestra que GenAI está acelerando los ataques y bajando el listón para que los ciberdelincuentes infecten los puntos finales. HP también descubrió que las campañas de ChromeLoader son cada vez más grandes y sofisticadas y utilizan publicidad maliciosa para dirigir a las víctimas a sitios web bien diseñados que ofrecen herramientas falsas, como convertidores de PDF. La instalación de una aplicación falsa entregada como un archivo MSI ejecutará código malicioso en el terminal. El malware carga una extensión del navegador que permite al atacante secuestrar la sesión de navegación de la víctima y redirigir las búsquedas a sitios controlados por el atacante. Otra campaña demostró que algunos ciberdelincuentes están contrarrestando esta tendencia al pasar de archivos HTML a imágenes vectoriales SVG para contrabandear malware.
HP Inc. (NYSE: HPQ) publicó hoy su último informe sobre amenazas sobre HP Imagine, que revela cómo los atacantes están aprovechando la IA generativa para escribir código malicioso. El equipo de investigación de amenazas de HP descubrió una campaña grande y sofisticada de ChromeLoader difundida a través de publicidad maliciosa que condujo a herramientas PDF fraudulentas de nivel profesional e identificó a ciberdelincuentes que incorporaban código malicioso en imágenes SVG.
Este informe proporciona un análisis de los ciberataques del mundo real para ayudar a las organizaciones a mantenerse actualizadas con las últimas técnicas utilizadas por los ciberdelincuentes para evadir la detección e infiltrarse en las PC en un entorno de ciberdelincuencia que cambia rápidamente. Con base en datos de millones de endpoints que ejecutan HP Wolf Security, los investigadores de amenazas de HP han identificado las siguientes campañas notables:
IA generativa para ayudar al desarrollo de malware: los ciberdelincuentes ya están utilizando GenAI para crear estafas de phishing convincentes, pero actualmente no hay evidencia de que los actores de amenazas hayan escrito código utilizando herramientas GenAI Limited. El equipo identificó una campaña dirigida a hablantes de francés que utilizaban VBScript y JavaScript y que parecía escrita con la ayuda de GenAI. La estructura del script, los comentarios que explican cada línea de código y la selección de nombres de funciones y variables en el idioma nativo sugieren fuertemente que el actor de la amenaza utilizó GenAI para crear el malware. Este ataque infecta a los usuarios con el malware AsyncRAT disponible gratuitamente. Se trata de un malware que roba información y que se obtiene fácilmente y que puede registrar la pantalla y las pulsaciones de teclas de la víctima. Esta actividad muestra que GenAI está bajando el listón para que los ciberdelincuentes infecten puntos finales. Las sofisticadas campañas de publicidad maliciosa conducen a herramientas PDF fraudulentas pero funcionales: las campañas de ChromeLoader están creciendo en tamaño y sofisticación. La publicidad maliciosa explota términos de búsqueda populares para dirigir a las víctimas a sitios web bien diseñados que ofrecen herramientas funcionales como lectores y convertidores de PDF. Estas aplicaciones funcionales ocultan código malicioso en archivos MSI y un certificado de firma de código válido elude las políticas de seguridad de Windows y las advertencias para el usuario, lo que aumenta la probabilidad de infección. Al instalar estas aplicaciones falsas, el atacante puede secuestrar el navegador de la víctima y redirigir las búsquedas a sitios controlados por el atacante. Este logotipo no sirve: ocultar malware en imágenes de gráficos vectoriales escalables (SVG): algunos ciberdelincuentes se oponen a esta tendencia al pasar de archivos HTML a imágenes vectoriales para contrabandear malware. Las imágenes vectoriales, ampliamente utilizadas en diseño gráfico, suelen utilizar el formato SVG basado en XML. Los SVG se abren automáticamente en el navegador, por lo que el código JavaScript incrustado se ejecuta cuando ves la imagen. Las víctimas creen que están mirando imágenes, pero en realidad están manipulando formatos de archivos complejos, lo que resulta en la instalación de múltiples tipos de malware de robo de información.
Ejemplo de código que parece haber sido escrito con la ayuda de GenAI
Ejemplo de un sitio web falso de herramienta de conversión de PDF que te redirige a ChromeLoader
Patrick Schläpfer, investigador principal de amenazas en HP Security Labs, comentó:
“Este hallazgo es importante porque existe una especulación generalizada de que los atacantes están aprovechando la IA, pero la evidencia es escasa. Los atacantes generalmente intentan ocultar sus intenciones para evitar revelar sus métodos. Este comportamiento indica que el asistente de IA ayudó a escribir el código. reducir aún más la barrera de entrada para los actores de amenazas, permitiendo que incluso los principiantes sin habilidades de codificación escriban scripts y desarrollen cadenas de infección y lancen ataques más dañinos”.
HP Wolf Security obtiene información concreta sobre las últimas técnicas utilizadas por los ciberdelincuentes al aislar las amenazas que evaden las herramientas de detección en las PC y al mismo tiempo garantizar que el malware se ejecute de manera segura. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 40 mil millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin informar ninguna infracción.
Este informe analiza datos hasta el segundo trimestre de 2024 y detalla cómo los ciberdelincuentes continúan diversificando las técnicas de ataque para evadir las políticas de seguridad y las herramientas de detección, entre ellas: Soy.
Al menos el 12 % de las amenazas de correo electrónico identificadas por HP Sure Click pasaron por alto uno o más escáneres de puerta de enlace de correo electrónico. Esto es lo mismo que el último trimestre. Los principales vectores de amenazas fueron los archivos adjuntos de correo electrónico (61%), las descargas del navegador (18%) y otros vectores de infección, como el almacenamiento extraíble, como memorias USB y archivos compartidos (21%). Los archivos fueron el tipo de entrega de malware más común (39%), de los cuales el 26% eran archivos ZIP.
El Dr. Ian Pratt, director global de seguridad de sistemas personales de HP Inc., comentó:
“Los actores de amenazas actualizan constantemente sus técnicas, utilizan IA para mejorar los ataques y crean herramientas funcionales pero maliciosas para evadir la detección. Sin embargo, se debe emplear una estrategia de defensa en profundidad que incluya aislar actividades de alto riesgo, como abrir archivos adjuntos de correo electrónico y sitios web. descargas. Ayuda a minimizar la superficie de ataque y neutralizar el riesgo de infección”.
HP Wolf Security(i) protege a los usuarios al realizar tareas riesgosas en máquinas virtuales aisladas y reforzadas por hardware que se ejecutan en puntos finales sin afectar la productividad del usuario. También captura rastros detallados de intentos de infección. La tecnología de aislamiento de aplicaciones de HP reduce las amenazas que pueden evadir otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los actores de amenazas.
Acerca de los datos
Estos datos se recopilaron de clientes de HP Wolf Security que dieron su consentimiento de abril a junio de 2024.
Acerca de HP
HP Inc. (NYSE: HPQ) es un líder tecnológico global que crea soluciones que permiten a las personas hacer realidad sus ideas y conectarse con lo más importante. Con operaciones en más de 170 países, HP ofrece una amplia gama de dispositivos, servicios y suscripciones innovadores y sostenibles para informática personal, impresión, impresión 3D, trabajo híbrido, juegos y más. Para obtener más información, visite http://www.hp.com.
Acerca de la seguridad de HP Wolf
HP Wolf Security es seguridad de endpoints de clase mundial. El portafolio de HP de seguridad mejorada por hardware y servicios de seguridad centrados en endpoints está diseñado para ayudar a las organizaciones a proteger PC, impresoras y personas de los ciberdelincuentes. HP Wolf Security proporciona resiliencia y protección integral de endpoints que se extiende desde el nivel de hardware hasta el software y los servicios. Visite https://hp.com/wolf.
https://cxotoday.com/press-release/hp-wolf-security-uncovers-evidence-of-attackers-using-ai-to-generate-malware/
