Gamers ahora disponen en Latam de SSD más fría
El malware tradicional aprovecha cada vez más ChatGPT para realizar ataques cada vez más exitosos.
A medida que los exploits contra las vulnerabilidades aumentan en general, la unidad de investigación de Palo Alto Networks ha observado un salto en los intentos de imitar ChatGPT a través de dominios furtivos.
Por Apurva Venkat | Original de IDGN
Las técnicas tradicionales de malware están aprovechando cada vez más el interés en ChatGPT y otros programas generativos de IA, según un informe de Palo Alto Networks sobre tendencias de malware.
“Entre noviembre de 2022 y abril de 2023, notamos un aumento del 910% en los registros mensuales de dominios – tanto benignos como maliciosos – relacionados con ChatGPT”.
Así lo señala el último Informe de investigación de tendencias de amenazas de red de Unit 42, el brazo de investigación de amenazas de Palo Alto Networks (PAN).
El informe se basa en la inteligencia de amenazas de varios productos incluidos:
- Palo Alto Networks Siguiente-Generation Firewall (NGFW)
- Cortex Data Lake
- Advanced URL Filtering
- Y Advanced WildFire
Todos ellos aprovechando la telemetría de 75.000 clientes en todo el mundo.
La firma de ciberseguridad observó un salto en los últimos meses en los intentos de imitar la interfaz de ChatGPT a través de tanto de dominios ocupados como de nombres de sitios web que están diseñados, deliberadamente, para ser similares a los de marcas o productos populares.
¿El objetivo? Engañar a las personas, por supuesto.
El disfraz de moda para el malware tradicional
En este sentido, el informe de PAN señala que la ocupación ilegal de dominios puede causar riesgos de seguridad y confusión al consumidor.
“Todo ello al tiempo que crea oportunidades para que los actores maliciosos se beneficien, como a través de ingresos publicitarios o ataques fraudulentos”.
La popularidad de ChatGPT también ha llevado a la aparición de grayware relacionado, que es un software que se encuentra entre malicioso y benigno.
Esta categoría incluye adware, spyware y programas potencialmente no deseados.
Grayware, quien no necesariamente debe ser visto como malware tradicional, puede no ser explícitamente dañino pero, aún así, causar problemas o invadir la privacidad de las personas.
“Esto sugiere que los ciberdelincuentes buscan explotar la popularidad de ChatGPT para difundir software potencialmente no deseado o dañino”, continua el informe.
La firma dice que las organizaciones pueden prepararse para los ataques de dicho software si continúan empleando las mejores prácticas de defensa en profundidad.
Al respecto, el informe explica que:
“Los controles de seguridad que defienden contra los ataques tradicionales serán una primera línea de defensa importante contra cualquier ataque relacionado con la IA en desarrollo en el futuro”.
Aumentan las vulnerabilidades
En su informe, Palo Alto Networks también dijo que hubo un aumento del 55% en los intentos de explotación de vulnerabilidades, por cliente, en promedio, el año pasado.
Gran parte de este aumento se puede atribuir al aumento de los intentos de explotación utilizando las vulnerabilidades de la cadena de suministro Log4j y Realtek.
“Seguimos encontrando que las vulnerabilidades que utilizan técnicas de ejecución remota de código (RCE) están siendo ampliamente explotadas. Incluso las que tienen varios años”, dijo Palo Alto Networks.
Para garantizar que las vulnerabilidades antiguas y nuevas se corrijan con regularidad, las organizaciones deben implementar un programa integral de gestión de vulnerabilidades.
Esto debe incluir, según la empresa:
- Evaluaciones periódicas de vulnerabilidades
- Así como el escaneo y la priorización en función de los niveles de riesgo
Royce Lu, ingeniero distinguido de Palo Alto Networks, recomendó a las empresas que desarrollen un proceso de administración de parches bien definido que incluya:
- La identificación
- Prueba
- Implementación
- Y verificación de parches
Por supuesto, esto debe hacerse, según el experto, en todos los sistemas y aplicaciones.
“Supervise continuamente las nuevas vulnerabilidades suscribiéndose a fuentes de vulnerabilidades y avisos de seguridad, y manteniéndose actualizado sobre la última inteligencia de amenazas”, continuo el representante de PAN.
En su opinión, debe avanzarse en lo necesario para lograr un enfoque basado en el riesgo para priorizar las vulnerabilidades en función de su gravedad, impacto potencial y explotabilidad.
“Concéntrese en parchear las vulnerabilidades críticas que podrían tener el impacto más significativo en los sistemas y datos de la organización”, dijo Lu.
Correos electrónicos con archivos PDF utilizados como vector de infección inicial
Mientras tanto, los correos electrónicos con archivos adjuntos PDF siguen siendo un vector de ataque inicial popular entre los atacantes para propagar malware.
“Esos son un vector inicial común utilizado por los actores de amenazas, pgracias a su amplio uso y popularidad en las organizaciones. Los archivos PDF se envían comúnmente como archivos adjuntos de correo electrónico, lo que los convierte en un mecanismo de entrega eficaz para el malware”, argumentó Lu.
Según el informe de Palo Alto Networks, los PDFs son el principal tipo de archivo adjunto de correo electrónico malicioso que se utiliza en el 66% de los casos en los que el malware se envió por correo electrónico.
También se utilizan ampliamente para compartir y distribuir documentos en varias plataformas.
De hecho, los PDFs están diseñados para ser compatibles entre plataformas, lo que significa que se pueden abrir y ver en diferentes navegadores, sistemas operativos y dispositivos.
“Esta versatilidad los convierte en una opción atractiva para los actores de amenazas, ya que pueden apuntar a una amplia gama de víctimas potenciales en varias plataformas”, explicó el experto.
Los archivos PDF también se pueden crear para engañar a los usuarios mediante técnicas de ingeniería social.
El representante de PAN señaló también que los actores de amenazas a menudo usan líneas de asunto o imágenes atractivas, así como contenido engañoso para que los usuarios abran un archivo PDF los cuales pueden contener:
- Enlaces de phishing
- Malware oculto
- O técnicas de explotación
El informe de amenazas también señaló que los ciberatacante también toman a las víctimas con la guardia baja mediante el uso de ataques de inyección, en los cuales buscan vulnerabilidades en sitios web o en complementos y bibliotecas de terceros y las explotan para insertar un script malicioso en sitios web legítimos.
“Los sitios web creados con WordPress se han convertido en un objetivo favorito”, dijo Palo Alto Networks, y agregó que esto podría ser un indicador de que uno o más complementos de terceros vulnerables podrían haber permitido a los actores de amenazas realizar inyecciones de secuencias de comandos maliciosas.
Variantes de la familia de malware Ramnit más utilizadas
En términos de malware más utilizado, Palo Alto Networks observó que las variantes de Ramnit fueron la familia de malware más comúnmente implementada el año pasado.
“Al revisar decenas de miles de muestras de malware de nuestra telemetría, descubrimos que la familia de malware Ramnit tenía la mayoría de las variantes en nuestros resultados de detección”, señala el documento.
Ramnit es una cepa de malware muy extendida que ha estado activa desde 2010. Comenzó como un gusano y troyano bancario, pero se ha convertido en una cepa de malware multifuncional. Se dirige a portales de banca en línea e inyecta código malicioso en los navegadores web.
“Este código captura las entradas del usuario como las credenciales de inicio de sesión, los detalles bancarios y los datos de transacciones, lo que permite a los actores de amenazas obtener acceso no autorizado a las cuentas financieras de las víctimas”, refirió Lu.
Ramnit infecta los sistemas explotando vulnerabilidades o utilizando técnicas de ingeniería social para engañar a los usuarios para que ejecuten archivos maliciosos o visiten sitios web comprometidos.
“Una vez dentro de un sistema, Ramnit establece la persistencia creando entradas de registro o agregándose a los procesos de inicio, asegurando que permanezca activo incluso después de reiniciar el sistema”, señaló el experto.
Este malware puede transformar los sistemas infectados en una botnet. Es decir, establece una infraestructura de comando y control (C&C) que permite a los actores de amenazas controlar y coordinar de forma remota las acciones de las máquinas comprometidas.
Lu detalló que esto les permite emitir comandos, entregar actualizaciones y orquestar diversas actividades maliciosas en la botnet.
La infraestructura crítica y Linux son objetivos populares del malware reforzado con ChatGPT
Palo Alto Networks también señala que se experimentó un aumento del 238% en la cantidad promedio de ataques experimentados por clientes en la industria de fabricación, servicios públicos y energía el año pasado.
La firma también observó que el malware de Linux está en aumento.
Palo Alto Networks recalcó que los atacantes buscan nuevas oportunidades en cargas de trabajo en la nube y dispositivos IoT que se ejecutan en sistemas operativos similares a Unix.
“La creciente prevalencia de esta familia de sistemas operativos entre los dispositivos móviles e ‘inteligentes’ podría explicar por qué algunos atacantes están volviendo los ojos hacia los sistemas Linux”, dijo PAN en el informe.
Para 2023, Palo Alto Networks predice que las amenazas evasivas seguirán siendo cada vez más complejas, la propagación de malware a través de vulnerabilidades crecerá y el malware cifrado seguirá aumentando.
El ChatGPT sólo es un actor más en esta guerra sin tregua.
