HP Inc. (NYSE: HPQ) publicó el 16 de enero su Reporte de inteligencia sobre amenazas cibernéticas, el cual destaca la forma en que los ciberdelincuentes están utilizando kits de malware e inteligencia artificial generativa para mejorar la eficacia de sus ataques. Estas herramientas reducen el tiempo y la habilidad necesarios para crear componentes de ataque, lo que permite a los ciberdelincuentes centrarse en experimentar con técnicas para evitar la detección y engañar a las víctimas para infectar sus dispositivos endpoint. Por ejemplo, la incorporación de código malicioso dentro de las imágenes.
El informe ofrece un análisis de los ciberataques en el mundo real que ayuda a las organizaciones a mantenerse al día con las últimas técnicas utilizadas por los ciber atacantes para evadir la detección y vulnerar los equipos en el cambiante panorama de la ciberdelincuencia. Según los datos de millones de dispositivos endpoint que ejecutan HP Wolf Security, las campañas destacadas, identificadas por los investigadores de amenazas de HP, incluyen las siguientes:
- Kits de malware por números: los investigadores de amenazas de HP observaron grandes campañas que difundían malware VIP Keylogger y 0bj3ctivityStealer aprovechando las mismas técnicas y cargadores, lo que sugiere el uso de kits de malware para distribuir diferentes cargas útiles. En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes en sitios web de alojamiento de archivos como archive.org, y también utilizaron el mismo cargador para instalar la carga útil final. Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imagen parecen inofensivos cuando se descargan de sitios web conocidos y, sin embargo, evitan así la seguridad de la red como los servidores proxy web que se basan en la reputación.
- La IA generativa está ayudando a crear documentos HTML maliciosos: los investigadores también identificaron una campaña de troyanos de acceso remoto (RAT) XWorm iniciada por el contrabando de HTML, la cual contenía código malicioso que descarga y ejecuta el malware. Cabe destacar que, de manera similar a una campaña AsyncRAT analizada en el trimestre anterior, el cargador presentaba características que indicaban que podría haber sido escrito con la ayuda de IA generativa. Por ejemplo, incluyendo una descripción línea por línea y el diseño de la página HTML.
- Los tramposos en los videojuegos nunca prosperan: los atacantes están poniendo en peligro las herramientas de trucos o trampas de los videojuegos, así como los repositorios de modificación alojados en GitHub, añadiendo archivos ejecutables que contienen Lumma Stealer. Este ladrón de información extrae las contraseñas, las billeteras de criptomonedas y la información del navegador de las víctimas. Los usuarios desactivan con frecuencia las herramientas de seguridad para descargar y usar trampas, lo que los expone a un mayor riesgo de infección si no cuentan con tecnología de aislamiento.
Alex Holland, investigador principal de amenazas cibernéticas del laboratorio de seguridad HP, comenta:
“Las campañas analizadas son una prueba más de la mercantilización de la ciberdelincuencia. Dado que los kits de malware por números están más disponibles, son más asequibles y fáciles de usar, incluso los novatos con habilidades y conocimientos limitados pueden armar una cadena de infección efectiva. Si se agrega IA generativa a la mezcla para escribir los scripts, las barreras de entrada se reducen aún más. Esto permite a los grupos concentrarse en engañar a sus objetivos y elegir la mejor carga útil para el trabajo. Por ejemplo, atacando a los jugadores con repositorios de trampas maliciosos”.
Al aislar las amenazas que han eludido las herramientas de detección en los dispositivos, pero que aún permiten que el malware se active de forma segura, HP Wolf Security cuenta con información específica sobre las últimas técnicas utilizadas por los ciberdelincuentes. A la fecha, los clientes de HP Wolf Security han hecho clic en más de 65 mil millones de archivos adjuntos de correo electrónico, páginas web, y han descargado archivos sin que se haya reportado ninguna infracción.
El Informe, que analiza datos del tercer trimestre del año calendario 2024, detalla cómo los ciberdelincuentes continúan diversificando los métodos de ataque para eludir las herramientas de seguridad que dependen de la detección. Por ejemplo:
- Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click pasaron por alto uno o más escáneres de puerta de enlace de correo electrónico.
- Los ejecutables fueron el tipo de entrega de malware más popular (40%), seguidos por los archivos comprimidos (34%).
- Hubo un aumento notable en los archivos .lzh que representaron el 11% de los archivos comprimidos analizados; la mayoría de los archivos comprimidos .lzh estaban dirigidos a usuarios japoneses.
Dr. Ian Pratt, jefe global de seguridad para sistemas personales de HP Inc., comenta:
«Los ciberdelincuentes están aumentando rápidamente la variedad, el volumen y la velocidad de sus ataques. Si se bloquea un documento de Excel malicioso, es posible que en el próximo ataque se introduzca un archivo comprimido. En lugar de intentar detectar métodos de infección que cambian rápidamente, las organizaciones deberían centrarse en reducir su superficie de ataque. Esto significa aislar y contener actividades de riesgo, como abrir archivos adjuntos de correo electrónico, hacer clics en enlaces y realizar descargas desde el navegador para reducir las posibilidades de una vulneración”.
HP Wolf Security ejecuta tareas riesgosas en máquinas virtuales aisladas y reforzadas por hardware que se ejecutan en el dispositivo endpoint para proteger a los usuarios, sin afectar su productividad. También captura rastros detallados de intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden eludir otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los agentes de amenazas.
Sobre los datos
Estos datos se recopilaron de clientes de HP que otorgaron su consentimiento, entre julio y septiembre de 2024.