HP descubre kits de malware por números y GenAI que hacen la vida más fácil que nunca a los cibercriminales
PALO ALTO, California, 16 de enero de 2025 — HP Inc. (NYSE: HPQ) publicó hoy su último informe Threat Insights Report , que destaca cómo los actores de amenazas están utilizando kits de malware e inteligencia artificial generativa (GenAI) para mejorar la eficiencia de sus ataques. Estas herramientas están reduciendo el tiempo y la habilidad necesarios para crear componentes de ataque, lo que permite a los atacantes centrarse en experimentar con técnicas para evitar la detección y engañar a las víctimas para que infecten sus endpoints, como la incorporación de código malicioso dentro de imágenes.
El informe proporciona un análisis de los ciberataques del mundo real, lo que ayuda a las organizaciones a mantenerse al día con las últimas técnicas que utilizan los cibercriminales para evadir la detección y vulnerar las PC en el cambiante panorama de los delitos cibernéticos. Según los datos de millones de endpoints que ejecutan HP Wolf Security1 , las campañas notables identificadas por los investigadores de amenazas de HP incluyen:
- Kits de malware por números: los investigadores de amenazas de HP observaron grandes campañas que difundían malware VIP Keylogger y 0bj3ctivityStealer que aprovechaban las mismas técnicas y cargadores, lo que sugiere el uso de kits de malware para distribuir diferentes cargas útiles. En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes en sitios web de alojamiento de archivos como archive.org, además de utilizar el mismo cargador para instalar la carga útil final. Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imagen parecen inofensivos cuando se descargan de sitios web conocidos, lo que evita la seguridad de la red, como los servidores proxy web que dependen de la reputación.
- GenAI ayuda a crear documentos HTML maliciosos: los investigadores también identificaron una campaña del troyano de acceso remoto (RAT) XWorm iniciada por el contrabando de HTML, que contenía código malicioso que descarga y ejecuta el malware. Cabe destacar que, de manera similar a una campaña AsyncRAT analizada en el trimestre anterior, el cargador presentaba características que indicaban que podría haber sido escrito con la ayuda de GenAI, por ejemplo, incluida una descripción línea por línea y el diseño de la página HTML.
- Los tramposos en los videojuegos nunca prosperan: los atacantes están poniendo en peligro las herramientas de trampas de los videojuegos y los repositorios de modificación alojados en GitHub, añadiendo archivos ejecutables que contienen el malware Lumma Stealer. Este ladrón de información extrae las contraseñas, las billeteras de criptomonedas y la información del navegador de las víctimas. Los usuarios desactivan con frecuencia las herramientas de seguridad para descargar y usar trampas, lo que los expone a un mayor riesgo de infección si no cuentan con tecnología de aislamiento.
Alex Holland, investigador principal de amenazas en el Laboratorio de seguridad de HP, comenta:
«Las campañas analizadas aportan más pruebas de la mercantilización del cibercrimen. Como los kits de malware por números están más disponibles, son más asequibles y fáciles de usar, incluso los novatos con habilidades y conocimientos limitados pueden crear una cadena de infección eficaz. Si añadimos GenAI a la mezcla para escribir los scripts, las barreras de entrada se reducen aún más. Esto permite a los grupos concentrarse en engañar a sus objetivos y elegir la mejor carga útil para el trabajo, por ejemplo, atacando a los jugadores con repositorios de trampas maliciosos».
Al aislar las amenazas que han eludido las herramientas de detección en los equipos, pero que aún permiten que el malware se active de forma segura, HP Wolf Security tiene información específica sobre las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 65 mil millones de archivos adjuntos de correo electrónico, páginas web y han descargado archivos sin que se haya informado de ninguna infracción.
El informe, que examina los datos del tercer trimestre de 2024, detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las herramientas de seguridad que dependen de la detección, como:
- Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de puerta de enlace de correo electrónico.
- Los archivos ejecutables fueron el tipo de distribución de malware más popular (40%), seguidos de los archivos comprimidos (34%).
- Se observó un aumento notable en los archivos .lzh, que representaron el 11 % de los archivos de almacenamiento analizados, y la mayoría de los archivos de almacenamiento .lzh maliciosos estaban dirigidos a usuarios de habla japonesa.
El Dr. Ian Pratt, director global de seguridad de sistemas personales de HP Inc., comenta:
«Los cibercriminales están aumentando rápidamente la variedad, el volumen y la velocidad de sus ataques. Si se bloquea un documento de Excel malicioso, es posible que se introduzca un archivo comprimido en el siguiente ataque. En lugar de intentar detectar métodos de infección que cambian rápidamente, las organizaciones deberían centrarse en reducir su superficie de ataque. Esto significa aislar y contener actividades de riesgo, como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces y descargar archivos del navegador, para reducir las posibilidades de una infracción».
HP Wolf Security 1 ejecuta tareas de riesgo en máquinas virtuales aisladas y reforzadas por hardware que se ejecutan en el punto final para proteger a los usuarios, sin afectar a su productividad. También captura rastros detallados de intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden pasar desapercibidas a otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los agentes de amenazas.
Acerca de los datos
Estos datos se recopilaron de clientes de HP Wolf Security que dieron su consentimiento entre julio y septiembre de 2024 . HP News. Traducido al español
Contacto