Los cibercriminales están utilizando una gama más amplia que nunca de documentos maliciosos para propagar malware y obtener acceso inicial a los sistemas de destino, según HP Wolf Security. Alex Holland, investigador principal de amenazas en el Laboratorio de Seguridad de HP, dijo a Infosecurity que los actores de amenazas han cambiado recientemente su enfoque. Ahora están priorizando las técnicas de phishing basadas en scripts sobre los enfoques basados en documentos maliciosos tradicionales, dijo antes del lanzamiento del Informe Threat Insights del segundo trimestre de 2024 de HP Wolf Security. Aprovechamiento de archivos de almacenamiento en campañas de phishing «Durante los últimos dos años, hemos visto un movimiento que se aleja del uso de maldocs, documentos de Microsoft Office que contienen macros maliciosas, hacia el aprovechamiento de lenguajes de script interpretados, como VBScript y JavaScript», explicó Holland. Por lo general, los actores de amenazas combinarían esta técnica de phishing de vida fuera de la tierra con la entrega de archivos de archivo cifrados. «Con este enfoque, en lugar de enviar un documento adjunto que incluye una macro maliciosa que infecta el sistema de destino, los actores de amenazas enviarían un archivo de almacenamiento que incluye código VBScript o JavaScript malicioso oculto junto con el archivo que la víctima quiere descargar». El informe trimestral de HP Wolf Security muestra que el 39,23% de las entregas de malware provinieron de un archivo de almacenamiento en el segundo trimestre de 2024, en comparación con el 27,89% en el período informado anteriormente. Tipos de entrega de malware más populares, segundo trimestre de 2024. Fuente: HP Wolf Security Este enfoque, que Holland considera de un nivel de sofisticación más alto que las técnicas de phishing tradicionales, es posible gracias a la gran cantidad de formatos de archivos de almacenamiento que se pueden utilizar. «Aunque la mayoría de la gente solo conocería los formatos principales, como WinZip, 7-zip o WinRar, hemos descubierto en nuestro último informe que los actores de amenazas han utilizado 50 formatos de archivos de almacenamiento diferentes para implementar campañas de phishing», señaló Holland. Agregó que esto se debe en parte a que Windows 11 admite más formatos de archivos de almacenamiento que sus predecesores. «Recomendamos que las organizaciones bloqueen los formatos de archivos de almacenamiento que no estén utilizando para reducir la superficie de ataque», dijo. Evidencia de código malicioso generado por IA Otros hallazgos del informe incluyen: Campañas de phishing que utilizan una amplia gama de vectores para infectar a las víctimas, incluidos documentos PDF maliciosos e imágenes SVG Una campaña de malvertising que utiliza ChromeLoader, una extensión de navegador maliciosa que apunta a Google Chrome y otros navegadores basados en Chromium para redirigir a los usuarios a sitios web no deseados, a menudo aquellos que promueven anuncios o contenido malicioso La primera evidencia de HP Wolf de IA generativa utilizada en una campaña maliciosa Este último hallazgo se refiere a una campaña dirigida a hablantes de francés que usa VBScript y JavaScript que los investigadores de HP Security Lab creen que se escribió con la ayuda de GenAI. Patrick Schläpfer, otro investigador principal de amenazas en HP Security Lab, explicó cómo su equipo hizo esta evaluación: «La estructura de los scripts, los comentarios que explican cada línea de código y la elección de los nombres de las funciones y las variables del idioma nativo son fuertes indicios de que el actor de la amenaza usó GenAI para crear el malware». Ejemplo de código probablemente escrito con la ayuda de GenAI. Fuente: HP Wolf Security“El ataque infecta a los usuarios con el malware AsyncRAT, disponible de forma gratuita, un ladrón de información fácil de obtener que puede registrar las pantallas y las pulsaciones de teclas de la víctima. La actividad muestra cómo GenAI está reduciendo el listón para que los cibercriminales infecten los puntos finales”, afirmó Schläpfer.
Deja una respuesta