Según un informe de Malware Trends de Palo Alto Networks, las técnicas tradicionales de malware se están aprovechando cada vez más del interés en ChatGPT y otros programas de IA generativa.
«Entre noviembre de 2022 y abril de 2023, vimos un aumento del 910 % en los registros mensuales de dominios relacionados con ChatGPT, tanto inofensivos como maliciosos», según el último Informe de investigación de tendencias de amenazas en la red de Unit 42, el brazo de investigación de amenazas de Palo Alto Networks.
El informe, publicado el martes, se basa en la inteligencia de amenazas de varios productos, incluidos el firewall de próxima generación (NGFW) de Palo Alto Networks, el lago de datos de Cortex, el filtrado de URL avanzado y WildFire avanzado, y aprovecha los datos de telemetría de 75 000 clientes en todo el mundo.
La firma de seguridad cibernética ha visto un aumento en los intentos de imitar la interfaz ChatGPT a través de dominios ilegales (nombres de sitios web diseñados intencionalmente para parecerse a marcas o productos populares) en los últimos meses para engañar a las personas.
«La ocupación de dominios puede crear riesgos de seguridad y confusión para los consumidores, al mismo tiempo que crea oportunidades para que los actores maliciosos moneticen cosas como los ingresos por publicidad o los ataques de fraude», dijo Palo Alto Networks en el informe.
La popularidad de ChatGPT también ha llevado a la aparición de grayware relacionado, un software que se encuentra entre malicioso e inofensivo. Esta categoría incluye adware, spyware y programas potencialmente no deseados. Si bien el grayware no es explícitamente malicioso, aún puede causar problemas o violar la privacidad de las personas.
«Esto indica que los ciberdelincuentes están intentando explotar la popularidad de ChatGPT para distribuir software potencialmente no deseado o malicioso», dijo Palo Alto Networks en el informe.
La compañía dice que las organizaciones pueden prepararse para los ataques de dicho software si continúan utilizando las mejores prácticas de defensa en profundidad. «Los controles de seguridad que protegen contra los ataques tradicionales serán una importante primera línea de defensa contra todos los ataques relacionados con la IA en el futuro», dijo Palo Alto Networks en el informe.
La explotación de las vulnerabilidades está aumentando
En su informe, Palo Alto Networks también afirmó que ha habido un aumento promedio del 55 % en los intentos de explotar vulnerabilidades por cliente durante el último año.
Gran parte de este aumento se debe al aumento de los intentos de explotación que aprovechan las vulnerabilidades en la cadena de suministro de Log4j y Realtek. «Seguimos descubriendo que las vulnerabilidades que aprovechan las técnicas de ejecución remota de código (RCE) se están explotando a escala, incluso aquellas que tienen varios años», dijo Palo Alto Networks.
Para garantizar que las vulnerabilidades antiguas y nuevas se corrijan regularmente, la compañía dice que las organizaciones deben implementar un programa integral de gestión de vulnerabilidades que incluya evaluaciones periódicas de vulnerabilidades, escaneo y priorización de vulnerabilidades según el nivel de riesgo.
“Establezca un proceso de administración de parches bien definido que incluya identificar, probar, implementar y verificar parches para todos los sistemas y aplicaciones. Supervise continuamente las nuevas vulnerabilidades suscribiéndose a fuentes de vulnerabilidades y avisos de seguridad, y manténgase actualizado con la inteligencia de amenazas más reciente”, dijo Royce Lu, ingeniero distinguido de Palo Alto Networks.
“Desarrolle un enfoque basado en el riesgo para priorizar las vulnerabilidades en función de su gravedad, impacto potencial y explotabilidad. Concéntrese en parchear las vulnerabilidades críticas que podrían tener el mayor impacto en los sistemas y datos de la empresa», dijo Lu.
Los correos electrónicos con archivos PDF se utilizan como vector de infección inicial
Mientras tanto, los correos electrónicos con archivos adjuntos en PDF siguen siendo un primer vector de ataque popular para que los atacantes propaguen malware.
“Los archivos PDF son un vector común para los actores de amenazas debido a su prevalencia y popularidad dentro de las organizaciones. Los archivos PDF se envían comúnmente como archivos adjuntos de correo electrónico, lo que los convierte en un mecanismo de entrega eficaz para el malware», dijo Lu.
Según el informe de Palo Alto Networks, los archivos PDF son el principal tipo de archivo adjunto de correo electrónico malicioso y se utilizan en el 66 % del malware enviado por correo electrónico.
Los archivos PDF se utilizan ampliamente para compartir y distribuir documentos entre diferentes plataformas. Están diseñados para ser compatibles entre plataformas, lo que significa que se pueden abrir y ver en diferentes navegadores, sistemas operativos y dispositivos. «Esta versatilidad los convierte en una opción atractiva para los actores de amenazas, ya que pueden apuntar a una amplia gama de víctimas potenciales en diferentes plataformas», dijo Lu.
Los archivos PDF también se pueden diseñar para engañar a los usuarios mediante técnicas de ingeniería social. Los actores de amenazas a menudo usan líneas de asunto atractivas, imágenes atractivas o contenido engañoso para engañar a los usuarios para que abran un archivo PDF que puede contener enlaces de phishing, malware oculto o técnicas de explotación, dijo Lu.
El informe de amenazas también señaló que los actores de amenazas también sorprenden a las víctimas con ataques de inyección, donde los atacantes buscan vulnerabilidades en sitios web o en complementos y bibliotecas de terceros y las explotan para inyectar un script malicioso en sitios web legítimos. «Los sitios web creados con WordPress se han convertido en un objetivo popular», dijo Palo Alto Networks, y agregó que esto podría ser una indicación de que uno o más complementos de terceros vulnerables pueden haber permitido a los actores de amenazas realizar inyecciones de secuencias de comandos maliciosas.
Variantes más comunes de la familia de malware Ramnit
En términos de malware principal, Palo Alto Networks descubrió que las variantes de Ramnit fueron la familia de malware principal durante el año pasado.
«Al revisar decenas de miles de muestras de malware de nuestra telemetría, descubrimos que la familia de malware Ramnit tenía la mayoría de las variantes en nuestros resultados de detección», dijo Palo Alto en el informe.
Ramnit es un tipo de malware generalizado que ha estado activo desde 2010. Comenzó como un gusano y un troyano bancario, pero se ha convertido en un tipo de malware multipropósito. Se dirige a los portales de banca en línea e inyecta código malicioso en los navegadores web. «Este código captura la entrada del usuario, como credenciales de inicio de sesión, información bancaria y datos de transacciones, lo que permite a los actores de amenazas obtener acceso no autorizado a las cuentas financieras de las víctimas», dijo Lu.
Ramnit infecta los sistemas al explotar vulnerabilidades o usar técnicas de ingeniería social para engañar a los usuarios para que ejecuten archivos maliciosos o visiten sitios web comprometidos. «Una vez en un sistema, Ramnit establece la persistencia al crear entradas de registro o agregarse a los procesos de inicio, lo que garantiza que permanezca activo durante los reinicios del sistema», dijo Lu.
Ramnit puede convertir los sistemas infectados en una botnet. Establece una infraestructura de comando y control (C&C) que permite a los actores de amenazas controlar y coordinar de forma remota las acciones de las máquinas comprometidas. Esto les permite emitir órdenes, implementar actualizaciones y orquestar diversas actividades maliciosas en la botnet, dijo Lu.
La infraestructura crítica y Linux son objetivos populares
Palo Alto Networks también experimentó un aumento del 238 % en la cantidad promedio de ataques por cliente en manufactura, servicios públicos y energía durante el año pasado.
La compañía también señaló que el malware de Linux está en aumento. Los atacantes buscan nuevas oportunidades en cargas de trabajo en la nube y dispositivos IoT que se ejecutan en sistemas operativos similares a Unix, dijo Palo Alto Networks.
«La creciente adopción de esta familia de sistemas operativos en dispositivos móviles e ‘inteligentes’ podría explicar por qué algunos atacantes están dirigiendo su atención a los sistemas Linux», dijo Palo Alto Networks en el informe.
En 2023, Palo Alto Networks predice que las amenazas evasivas se volverán más sofisticadas, la proliferación de malware a través de vulnerabilidades seguirá aumentando y el malware cifrado seguirá proliferando.
Derechos de autor © 2023 IDG Communications, Inc.