HP Wolf Security halla evidencias del uso de la IA para crear malware

La última edición del Informe de Análisis de Amenazas de HP incluye evidencias y pruebas de que los atacantes están usando IA generativa como apoyo para escribir código malicioso. Además, el equipo de investigación de amenazas de HP ha descubierto una campaña de ChromeLoader que se propaga mediante publicidad maliciosa, enviando a herramientas PDF falsas de aspecto profesional, y han identificado a ciberatacantes que incrustan código dañino en imágenes SVG.

El informe ofrece un análisis de ciberataques en el mundo real, y con los datos de millones de endpoint que emplean HP Wolf Security, los investigadores de amenazas de la compañía han conseguido constatar que, como hemos mencionado, la IA generativa ayuda a desarrollar malware.

Los ciberdelincuentes la usan para crear ataques de phishing convincentes, pero hasta ahora no había muchas pruebas de su uso para escribir código dañino. Pero en el informe se refleja que la estructura de los scripts, los comentarios que explican las líneas de código y la elección de nombres de funciones y variables son indicios de que la IA generativa se ha usado con ello.

El ataque en cuestión que ha permitido confirmar el uso de IA generativa para crear su código infecta a los usuarios con el malware AsyncRAT, que puede registrar las pantallas y las pulsaciones de teclado de las víctimas. Por tanto, la IA generativa está facilitando la infección de endpoints.

En cuanto a las campañas de publicidad que llevan a herramientas PSD falsas, son en muchos casos campañas de ChromeLoader, que van aumentando en sofisticación y envergadura. Se basan en publicidad maliciosa relacionada con palabras clave populares en búsquedas para dirigir a las víctimas a webs que ofrecen herramientas como lectores y convertidores de PDF.

Estas aplicaciones, completamente funcionales, ocultan código en un archivo MSI, y sus certificados de firma de código escapan a las políticas de seguridad de Windows y a los avisos a usuarios. Al instalar estas aplicaciones, los atacantes se hacen con el control de los navegadores del sistema y redirigen las búsquedas a sitios controlados por ellos.

En cuanto a la ocultación de programas maliciosos en imágenes SVG, ha aumentado debido a que los SVG se abren automáticamente en los navegadores, y permiten que cualquier código JavaScript incrustado se ejecute al abrirse la imagen, lo que conduce a la posibilidad de la instalación de varios tipos de malware de clase Infostealer.

El informe, que examina los datos recogidos en el segundo trimestre de 2024, se detiene también en detallar que los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las políticas de ciberseguridad y las utilidades dedicadas a su detección.

Más del 12% de las amenazas de email detectadas por HP Sure Click eludieron al menos una detección de seguridad de tipo gateway de correo electrónico. Además, los principales vectores de amenaza fueron los archivos adjuntos a correos (61%), los almacenados en dispositivos de almacenamiento extraíble y archivos compartidos (21%) y las descargas desde navegadores (18%). El método de entrega de malware más común en el periodo fueron los archivos (39%), de los que un 26% eran ficheros comprimidos en formato ZIP.