Un informe de HP Wolf Security ha identificado una gran campaña de ChromeLoader que utiliza certificados válidos de ‘firma de código’ para eludir las políticas de seguridad de Windows. Los actores de amenazas que utilizan el exploit ChromeLoader también pueden estar creando empresas falsas en un intento por validar certificados para PDF falsos. sitios web de lectores, señaló el informe. Al firmar el archivo de instalación con certificados de firma de código válidos, los atacantes hacen que el malware sea más difícil de detectar. Aquí, pueden apuntar a un grupo más amplio de víctimas potenciales entregando el malware dentro de instaladores de software falsos asociados con palabras clave populares de motores de búsqueda, como PDF. herramientas de conversión, lectores de manuales de electrodomésticos y otros tipos de guías. Estas campañas también utilizan ‘publicidad maliciosa’ para guiar a las víctimas a sitios web bien diseñados que ofrecen herramientas aparentemente legítimas como lectores y convertidores de PDF. Una vez que se visita el sitio infectado, los atacantes pueden luego se apoderan de los navegadores de sus víctimas, permitiéndoles redirigir las búsquedas a sitios controlados por atacantes. Con el certificado firmado con código, las políticas de seguridad de AppLocker no bloquean la instalación y no se muestra ninguna advertencia al usuario. El informe de HP teoriza que los certificados firmados con código fueron robados de empresas legítimas o que los actores de amenazas los han configurado con herramientas de IA generativa con el único propósito de obtener certificados de firma de código válidos». Según la estructura del script, los comentarios consistentes para cada función y la elección de los nombres y variables de las funciones, creemos que es muy probable que el atacante haya usado IA gen para desarrollar estos scripts», señaló el informe de HP Wolf. «La actividad muestra cómo la IA de generación está acelerando los ataques y bajando el listón para que los ciberdelincuentes infecten puntos finales». Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2024.ChromeLoader subraya la creciente amenaza de la «firma de código» Un certificado comprometido indica a las máquinas que el software es seguro, lo que permite instalarlo y ejecutarlo sin generar cualquier alarma. En circunstancias normales, si se detecta software malicioso, la máquina bloquearía la instalación, pero el certificado válido, incluso con su código malicioso, se considera seguro. En el contexto de los nuevos métodos de ataque de IA, este abuso de código está generando motivo de alarma. , según Kevin Bocek, director de innovación de Venafi. «Los certificados de firma de código son identidades de máquina increíblemente poderosas, y su uso indebido por parte de los atacantes es una preocupación creciente», dijo Bocek. «Si son robados (u obtenidos de manera fraudulenta), los atacantes pueden usarlos para distribuir malware bajo un nombre confiable, lo que hace que ataques como la campaña ChromeLoader identificada por HP sean especialmente difíciles de detener». La firma de código se ha utilizado con gran efecto en varios casos de alto perfil, como la filtración de certificados de Nvidia de 2022 y la filtración de SolarWinds, donde se instaló malware firmado con código en millones de máquinas causando una interrupción global masiva. Esto último se discutió detalladamente en el Podcast ITPro. Los piratas informáticos apuntan a las identidades de las máquinas porque autentican y autorizan el código, los contenedores y las aplicaciones para conectarse y ejecutarse. A medida que crecen las tecnologías nativas de la nube y más desarrolladores utilizan herramientas como asistentes de codificación de IA, la necesidad de proteger las identidades de las máquinas, como los certificados de firma de código, se volverá más urgente, según Bocek. Sugiere que los expertos están pidiendo un plano de control para la identidad de las máquinas que reúna protección en toda una empresa, desde la firma de códigos hasta los certificados de Seguridad de la capa de transporte (TLS). «Hacer caso omiso de este consejo deja a las empresas peligrosamente expuestas», añadió Bocek.