Cotización de descuento para licencias múltiples
Seguridad informática Los piratas informáticos utilizan imágenes para ocultar...

Los piratas informáticos utilizan imágenes para ocultar malware, implementar un keylogger VIP y un ladrón de actividad

Por Mura en Seguridad informática
Traducir a:
Español

Los cibercriminales están llevando sus tácticas de sigilo al siguiente nivel al incorporar código malicioso en archivos de imagen para distribuir malware como VIP Keylogger y 0bj3ctivity Stealer, según el informe Threat Insights de HP Wolf Security para el tercer trimestre de 2024. Estas sofisticadas campañas explotan plataformas confiables como Archive.org para distribuir malware mientras eluden los métodos de detección tradicionales.

Cómo funciona el ataque: malware oculto en imágenes

Las campañas comienzan con un correo electrónico de phishing diseñado para engañar a las víctimas para que abran archivos adjuntos maliciosos . Estos correos electrónicos suelen simular facturas u órdenes de compra para generar credibilidad. Una vez abierto, el archivo adjunto activa un exploit para la vulnerabilidad obsoleta del Editor de ecuaciones de Microsoft ( CVE-2017-11882 ) para descargar un archivo VBScript.

La cadena de ataque

  1. Correo electrónico de phishing : las víctimas reciben un correo electrónico engañoso que contiene archivos adjuntos maliciosos.
  2. Ejecución de VBScript : el VBScript descargado ejecuta un script de PowerShell.
  3. Recuperación de imágenes : PowerShell descarga una imagen de Archive.org.
  4. Extracción de código malicioso : la imagen contiene malware codificado en Base64 que se extrae y decodifica en un ejecutable .NET.
  5. Entrega de carga útil : el cargador .NET instala la carga útil final del malware.

En la primera campaña, este payload es VIP Keylogger, una herramienta diseñada para capturar pulsaciones de teclas, contenido del portapapeles, capturas de pantalla y credenciales. En la segunda campaña, el payload es 0bj3ctivity Stealer, un malware que roba información.

Los kits de malware reducen la barrera para los atacantes

Las similitudes entre las dos campañas indican que los cibercriminales están aprovechando los kits de malware. Estos kits agilizan el proceso de ataque, reduciendo la experiencia técnica necesaria para ejecutar cadenas de infección complejas. Esta tendencia refleja la creciente mercantilización del cibercrimen, donde las herramientas preconstruidas facilitan incluso a los atacantes novatos la implementación de malware.

Técnicas adicionales en uso

HP Wolf Security también identificó el contrabando de HTML como una táctica complementaria. En este método, los atacantes distribuyen malware como el RAT XWorm mediante el uso de droppers de AutoIt ocultos en archivos HTML maliciosos. Algunos de estos archivos se generaron utilizando herramientas GenAI, lo que demuestra cómo se utiliza la inteligencia artificial para mejorar la distribución y la ofuscación de malware.

Las campañas de GitHub entregan el Lumma Stealer

Otra campaña notable fue el uso de repositorios de GitHub que se hacían pasar por fuentes de trucos y herramientas de modificación de videojuegos. Estos repositorios distribuían en secreto el malware Lumma Stealer a través de descargadores basados en .NET, lo que pone de relieve cómo los atacantes explotan las plataformas populares para atacar a usuarios desprevenidos.

Por qué los ataques basados en imágenes son una amenaza

La técnica de esteganografía consiste en incorporar malware en imágenes, lo que permite ocultar códigos maliciosos en archivos aparentemente inofensivos. Este método evita el uso de muchos sistemas antivirus, que tienen menos probabilidades de analizar los archivos de imagen. El uso de plataformas de alojamiento de confianza como Archive.org complica aún más los esfuerzos de detección.

Estrategias de mitigación para organizaciones

Para defenderse de estas amenazas cambiantes, las organizaciones deben implementar las siguientes medidas:

  1. Parchear vulnerabilidades conocidas : soluciona vulnerabilidades de software obsoletas como CVE-2017-11882.
  2. Habilite la detección avanzada de amenazas : utilice soluciones capaces de detectar esteganografía y comportamiento de archivos sospechosos.
  3. Educar a los empleados : capacite al personal para reconocer correos electrónicos de phishing y evitar abrir archivos adjuntos inesperados.
  4. Limitar el acceso a fuentes confiables : restrinja el uso de plataformas de intercambio de archivos a dominios aprobados.

La creciente mercantilización del cibercrimen

A medida que los kits de malware se vuelven más accesibles, los atacantes de todos los niveles pueden crear cadenas de infección efectivas. La integración de herramientas de inteligencia artificial en la creación de malware amplifica aún más el desafío para los defensores de la ciberseguridad, lo que hace que los ataques sean más variados y más difíciles de atribuir.

Los hallazgos de HP Wolf Security subrayan la urgencia de mantenerse a la vanguardia de estas amenazas en constante evolución. Al adoptar estrategias de defensa proactivas y monitorear las tácticas emergentes, las organizaciones pueden proteger mejor sus redes contra estas campañas sofisticadas.


Cargando...