[08/06/2023] Las técnicas tradicionales de malware aprovechan cada vez más el interés por ChatGPT y otros programas de IA generativa, según un informe de Palo Alto Networks sobre tendencias de malware.
"Entre noviembre del 2022 y abril del 2023, observamos un aumento del 910% en los registros mensuales de dominios, tanto benignos como maliciosos, relacionados con ChatGPT", según el último Network Threat Trends Research Report de Unit 42, la rama de investigación de amenazas de Palo Alto Networks.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
El informe, publicado el martes, se basa en la inteligencia sobre amenazas de varios productos, entre ellos el firewall de nueva generación (NGFW) de Palo Alto Networks, Cortex Data Lake, Advanced URL Filtering y Advanced WildFire, aprovechando la telemetría de 75 mil clientes en todo el mundo.
La empresa de ciberseguridad ha observado un aumento en los últimos meses de los intentos de imitar la interfaz ChatGPT a través de dominios "okupas", es decir, nombres de sitios web creados deliberadamente para parecerse a los de marcas o productos populares, con el fin de engañar a la gente.
"Los dominios ocupados pueden causar riesgos para la seguridad y confusión en los consumidores, al tiempo que crean oportunidades para que los actores maliciosos obtengan beneficios, por ejemplo, a través de ingresos por publicidad o ataques fraudulentos", afirmó Palo Alto Networks en su informe.
La popularidad de ChatGPT también ha propiciado la aparición de software gris relacionado; es decir, software que se sitúa entre lo malicioso y lo benigno. Esta categoría incluye adware, spyware y programas potencialmente no deseados. Puede que el grayware no sea explícitamente dañino, pero puede causar problemas o invadir la privacidad de las personas.
"Esto sugiere que los ciberdelincuentes intentan aprovecharse de la popularidad de ChatGPT para difundir software potencialmente no deseado o dañino", afirmó Palo Alto Networks en su informe.
La firma señaló que las organizaciones pueden prepararse para los ataques de este tipo de software si siguen empleando las mejores prácticas de defensa en profundidad. "Los controles de seguridad que defienden contra los ataques tradicionales serán una importante primera línea de defensa contra cualquier ataque relacionado con la IA en desarrollo en el futuro", anotó Palo Alto Networks en el informe.
Aumentan los exploits de vulnerabilidades
En su informe, Palo Alto Networks también señala que el año pasado se produjo un aumento del 55% en los intentos de explotación de vulnerabilidades, por cliente, de media.
Gran parte de este aumento puede atribuirse al incremento de los intentos de explotación mediante las vulnerabilidades de la cadena de suministro Log4j y Realtek. "Seguimos descubriendo que las vulnerabilidades que utilizan técnicas de ejecución remota de código (RCE) están siendo ampliamente explotadas, incluso las que tienen varios años", afirmó Palo Alto Networks.
Según la empresa, para garantizar que las vulnerabilidades antiguas y nuevas se parchean con regularidad, las organizaciones deben implantar un programa integral de gestión de vulnerabilidades que incluya evaluaciones periódicas de vulnerabilidades, escaneos y priorización de vulnerabilidades en función de los niveles de riesgo.
"Desarrolle un proceso de gestión de parches bien definido que incluya la identificación, prueba, despliegue y verificación de parches en todos los sistemas y aplicaciones. Supervise continuamente las nuevas vulnerabilidades suscribiéndose a feeds de vulnerabilidades y avisos de seguridad, y manténgase al día de los últimos datos sobre amenazas", afirmó Royce Lu, ingeniero distinguido de Palo Alto Networks.
"Desarrolle un enfoque basado en el riesgo para priorizar las vulnerabilidades en función de su gravedad, impacto potencial y posibilidad de aprovechamiento. Concéntrese en parchear las vulnerabilidades críticas que podrían tener el impacto más significativo en los sistemas y datos de la organización", anotó Lu.
Correos electrónicos con PDF utilizados como vector inicial de infección
Mientras tanto, los correos electrónicos con archivos PDF adjuntos siguen siendo un vector de ataque inicial muy popular entre los atacantes para propagar malware.
"Los PDF son un vector inicial común utilizado por los actores de amenazas gracias a su amplio uso y popularidad en las organizaciones. Los PDF se envían habitualmente como adjuntos de correo electrónico, lo que los convierte en un mecanismo de distribución eficaz para el malware", afirmó Lu.
Según el informe de Palo Alto Networks, los PDF son el principal tipo de archivo adjunto malicioso utilizado en el 66% de los casos en los que el malware se envió por correo electrónico.
Los archivos PDF se utilizan ampliamente para compartir y distribuir documentos en diversas plataformas. Están diseñados para ser compatibles entre plataformas, lo que significa que pueden abrirse y visualizarse en distintos navegadores, sistemas operativos y dispositivos. "Esta versatilidad los convierte en una opción atractiva para los actores de amenazas, ya que pueden dirigirse a una amplia gama de víctimas potenciales a través de diversas plataformas", indicó Lu.
Los PDF también pueden diseñarse para engañar a los usuarios mediante técnicas de ingeniería social. Las amenazas suelen utilizar líneas de asunto atractivas, elementos visuales atractivos o contenidos engañosos para conseguir que los usuarios abran un archivo PDF, que puede contener enlaces de phishing, malware oculto o técnicas de explotación, explica Lu.
El informe de Thresat también señala que las amenazas también pillan desprevenidas a las víctimas mediante ataques de inyección, en los que los atacantes buscan vulnerabilidades en sitios web o en plugins y bibliotecas de terceros y las aprovechan para insertar un script malicioso en sitios web legítimos. "Los sitios web creados con WordPress se han convertido en uno de los objetivos favoritos", afirmó Palo Alto Networks, que añade que esto podría ser un indicador de que uno o más plugins vulnerables de terceros podrían haber permitido a los agresores realizar inyecciones de scripts maliciosos.
Variantes de la familia de malware Ramnit más utilizadas
En cuanto al malware más utilizado, Palo Alto Networks observó que las variantes de Ramnit fueron la familia de malware más desplegada el año pasado.
"Al revisar decenas de miles de muestras de malware de nuestra telemetría, descubrimos que la familia de malware Ramnit tenía el mayor número de variantes en nuestros resultados de detección", afirmó Palo Alto en el informe.
Ramnit es una cepa de malware muy extendida que lleva activa desde el 2010. Comenzó siendo un gusano y un troyano bancario, pero ha evolucionado hasta convertirse en una cepa de malware multifuncional. Su objetivo son los portales de banca en línea e inyecta código malicioso en los navegadores web. "Este código captura los datos introducidos por el usuario, como las credenciales de inicio de sesión, los datos bancarios y los datos de las transacciones, lo que permite a los agresores obtener acceso no autorizado a las cuentas financieras de las víctimas", explicó Lu.
Ramnit infecta los sistemas aprovechando vulnerabilidades o utilizando técnicas de ingeniería social para engañar a los usuarios, y hacer que ejecuten archivos maliciosos o visiten sitios web comprometidos. "Una vez dentro del sistema, Ramnit establece su persistencia creando entradas en el registro o añadiéndose a los procesos de inicio, lo que garantiza que permanezca activo incluso después de reiniciar el sistema", explicó Lu.
Ramnit puede transformar los sistemas infectados en una botnet. Establece una infraestructura de mando y control (C&C) que permite a los actores de la amenaza controlar y coordinar a distancia las acciones de las máquinas infectadas. Esto les permite emitir órdenes, distribuir actualizaciones y orquestar diversas actividades maliciosas a través de la botnet, sostuvo Lu.
Las infraestructuras críticas y Linux son objetivos populares
Palo Alto Networks también observó que el número medio de ataques experimentados por cliente en el sector de la fabricación, los servicios públicos y la energía aumentó un 238% el año pasado.
La empresa también observó que el malware para Linux va en aumento. Los atacantes están buscando nuevas oportunidades en las cargas de trabajo en la nube y los dispositivos IoT que se ejecutan en sistemas operativos similares a Unix, dijo Palo Alto Networks.
"La creciente prevalencia de esta familia de sistemas operativos entre los dispositivos móviles e 'inteligentes' podría explicar por qué algunos atacantes están volviendo sus ojos hacia los sistemas Linux", anotó Palo Alto Networks en el informe.
Para el 2023, Palo Alto Networks predice que las amenazas evasivas seguirán siendo cada vez más complejas, la propagación de malware a través de vulnerabilidades seguirá aumentando y el malware cifrado seguirá creciendo.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú