HP ha publicado su último informe 'Threat Insights', en el que destaca cómo los ciberdelincuentes utilizan kits de malware e inteligencia artificial generativa (GenAI) para mejorar la eficacia de sus ataques. Estas herramientas están reduciendo el tiempo y la habilidad necesarios para crear componentes de ataque, lo que permite a los delincuentes centrarse probar nuevas técnicas para eludir la detección y engañar a las víctimas para infectar sus terminales, como con la incrustación de código malicioso dentro de imágenes.

El informe proporciona un análisis de los ciberataques del mundo real, ayudando a las organizaciones a mantenerse al día con las últimas técnicas que los ciberdelincuentes están utilizando para evadir la detección y vulnerar los PC en el cambiante panorama de la ciberdelincuencia. Basándose en datos de millones de terminales que ejecutan HP Wolf Security, entre las campañas más destacadas identificadas por los investigadores de amenazas de HP se incluyen:

• Kits de malware prefabricados: Los investigadores de amenazas de HP observaron grandes campañas de propagación del malware VIP Keylogger y 0bj3ctivityStealer que aprovechan las mismas técnicas y cargadores, lo que sugiere el uso de kits de malware para entregar diferentes cargas útiles. En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes de sitios web de alojamiento de archivos como archive.org, y utilizaron el mismo cargador para instalar la carga útil final. Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imagen parecen benignos cuando se descargan de sitios web conocidos, evitando la seguridad de la red como los proxies web que se basan en la reputación.
• GenAI ayudando a crear documentos HTML maliciosos: Los investigadores también identificaron una campaña del troyano de acceso remoto (RAT) XWorm iniciada por el contrabando de HTML, que contenía código malicioso que descarga y ejecuta el malware. Cabe destacar que, de forma similar a una campaña AsyncRAT analizada en el trimestre anterior, el cargador presentaba rasgos distintivos que indican que puede haber sido escrito con la ayuda de GenAI, por ejemplo, incluyendo una descripción línea por línea y el diseño de la página HTML.
• Los que hacen trampas en los videojuegos nunca prosperan: Los atacantes están comprometiendo las herramientas de trucos de videojuegos y los repositorios de modificaciones alojados en GitHub, añadiendo archivos ejecutables que contienen el malware Lumma Stealer. Este infostealer  roba las contraseñas, monederos de criptomonedas e información del navegador de las víctimas. Los usuarios suelen desactivar las herramientas de seguridad para descargar y utilizar trucos, lo que les expone a un mayor riesgo de infección si no disponen de tecnología de aislamiento.

Alex Holland, investigador principal de Amenazas en el Laboratorio de Seguridad de HP, ha comentado: "Las campañas analizadas son una prueba más de la mercantilización de la ciberdelincuencia. A medida que los kits de malware prefabricados o listos para usar están más disponibles, son más asequibles y fáciles de usar, incluso los novatos con habilidades y conocimientos limitados pueden montar una cadena de infección eficaz. Si se añade GenAI para escribir los scripts, las barreras de entrada se reducen aún más. Esto permite a los grupos concentrarse en engañar a sus objetivos y elegir la mejor carga útil para el trabajo, por ejemplo, dirigiéndose a los jugadores con repositorios de trucos maliciosos".

Al aislar las amenazas que han eludido las herramientas de detección en los PC, pero permitiendo que el malware se detone de forma segura, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 65.000 millones de adjuntos de correo electrónico, páginas web y archivos descargados sin que se haya informado de ninguna infracción. 

El informe, que examina datos del tercer trimestre de 2024, detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las herramientas de seguridad basadas en la detección, como:

• Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico.
• Los ejecutables fueron el tipo de malware más popular (40%), seguidos de los archivos comprimidos (34%).
• Se produjo un notable aumento de los archivos .lzh, que constituyeron el 11% de los archivos analizados, y la mayoría de los archivos .lzh maliciosos iban dirigidos a usuarios de habla japonesa.

Melchor Sanz, CTO de ventas de HP, ha añadido: "Los ciberdelincuentes están aumentando rápidamente la variedad, el volumen y la velocidad de sus ataques. Si se bloquea un documento Excel malicioso, en el siguiente ataque puede colarse un archivo comprimido. En lugar de intentar detectar métodos de infección que cambian rápidamente, las organizaciones deberían centrarse en reducir su superficie de ataque. Esto significa aislar y contener las actividades de riesgo, como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces y descargas del navegador, para reducir las posibilidades de una brecha".

HP Wolf Security ejecuta las tareas de riesgo en equipos virtuales aislados y reforzados por hardware que se ejecutan en el endpoint para proteger a los usuarios, sin afectar a su productividad. También captura rastros detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden escapar a otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los actores de las amenazas.