- Los investigadores dicen que los delincuentes ocultan malware en imágenes alojadas en sitios web conocidos
- Se vio al menos a dos grupos diferentes desplegando dos tipos de ladrones de información.
- Las campañas están abusando de una antigua falla en Excel, afirma HP Wolf Security
Los expertos han advertido que los piratas informáticos ocultan malware en imágenes de sitios web para que no se den cuenta e infecten tantas computadoras como sea posible.
Un nuevo informe Threat Insights de HP Wolf Security, basado en datos de millones de puntos finales, afirma que actualmente hay grandes campañas activas que distribuyen VIP Keylogger y 0bj3ctivityStealer. Debido a que en ambos se utilizan las mismas técnicas y cargas útiles, los investigadores sospechan que ambos grupos están utilizando los mismos kits de malware para entregar cargas útiles diferentes.
“En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes en sitios de alojamiento de archivos como archive.org, además de utilizar el mismo cargador para instalar la carga útil final”, explicaron los investigadores. “Estas técnicas ayudan a los atacantes a evitar la detección, ya que los archivos de imágenes parecen benignos cuando se descargan de sitios conocidos, evitando la seguridad de la red, como los servidores proxy de Internet que dependen de la reputación”.
Lanzar GenAI a la mezcla
El ataque comienza con un correo electrónico de phishing que se hace pasar por una factura o una orden de compra. El archivo adjunto suele ser un documento de Excel diseñado para aprovechar CVE-2017-11882, un antiguo error en el Editor de ecuaciones, para descargar un archivo VBScript.
Alex Holland, investigador principal de amenazas en HP Security Lab, afirmó que los kits de phishing, combinados con herramientas de IA generativa (GenAI), han reducido significativamente la barrera de entrada, exacerbando el riesgo siempre presente de malware: “Permite a los grupos concentrarse en engañar sus objetivos y seleccionando la mejor carga útil para el rol, por ejemplo, apuntando a los jugadores con grupos de trucos maliciosos”.
Al hablar de GenAI, los investigadores dijeron que los malhechores lo utilizan para crear documentos HTML maliciosos. También identificaron una campaña del troyano de acceso remoto (RAT) XWorm que inició el contrabando de HTML, que contenía código malicioso que descarga y ejecuta el malware.
El cargador fue escrito con bastante claridad por IA, agregaron, ya que incluía una descripción línea por línea y un diseño de página HTML.
Tanto VIP Keylogger como 0bj3ctivityStealer son malware de robo de datos que registra y extrae información confidencial como contraseñas, información de billetera criptográfica, archivos confidenciales y más.