Las técnicas tradicionales de malware se benefician cada vez más del interés en ChatGPT y otros programas de IA generativa. según un informe de Palo Alto Networks sobre las tendencias del malware. “Entre noviembre de 2022 y abril de 2023, vimos un aumento del 910 % en los registros mensuales de dominios, tanto benignos como maliciosos, relacionados con ChatGPT”, según la investigación de Unit42, el brazo de investigación de amenazas del proveedor. Publicado el martes, se basa en inteligencia sobre amenazas de varios de los productos del editor que informan datos de telemetría de 75.000 clientes en todo el mundo.
El proveedor ha observado en los últimos meses un aumento de los intentos de imitar la interfaz ChatGPT a través de dominios "squat": nombres de sitios web diseñados deliberadamente para parecerse a los de marcas o productos populares, en un intento de engañar a los usuarios. gente. Estos pueden crear riesgos de seguridad y sembrar dudas entre los usuarios de Internet, al tiempo que crean oportunidades para que actores maliciosos obtengan ganancias, por ejemplo a través de ingresos publicitarios o ataques fraudulentos, afirma Palo Alto Networks.
Explotaciones de vulnerabilidad en aumento
La popularidad de ChatGPT también ha llevado a la aparición de grayware, o software que se encuentra entre malicioso y legítimo. Esta categoría incluye adware, spyware y programas potencialmente no deseados. Es posible que el Grayware no sea explícitamente peligroso, pero aun así puede causar problemas o invadir la privacidad. "Esto sugiere que los ciberdelincuentes buscan explotar la popularidad de ChatGPT para distribuir software potencialmente no deseado o dañino", continúa Palo Alto Networks. La compañía dice que las empresas pueden prepararse para los ataques de este software si continúan utilizando las mejores prácticas de defensa en profundidad: "Los controles de seguridad que defienden contra los ataques tradicionales serán una primera línea de defensa importante contra todos los ataques relacionados con la IA que se desarrollarán en el futuro". futuro.
En su informe, Palo Alto Networks también afirma que el número de intentos de explotación de vulnerabilidades aumentó en un 55% por cliente, en promedio, el año pasado. Gran parte de este aumento se puede atribuir al aumento de los intentos de explotar las vulnerabilidades de Log4j y Realtek. "Seguimos viendo que las vulnerabilidades que utilizan técnicas de ejecución remota de código (RCE) se explotan ampliamente, incluso aquellas que tienen varios años", afirma el editor. Para garantizar que las infracciones antiguas y nuevas se solucionen periódicamente, las empresas deben implementar un programa de gestión integral que incluya evaluaciones, análisis y priorización periódicos en función de los niveles de riesgo.
“Desarrollar un proceso de gestión de parches bien definido que incluya identificar, probar, implementar y verificar parches en todos los sistemas y aplicaciones. Supervise continuamente las últimas vulnerabilidades escaneando avisos y boletines de seguridad y manteniéndose actualizado con la última información sobre amenazas”, dijo Royce Lu, ingeniero jefe de Palo Alto Networks. “Desarrollar un enfoque basado en riesgos para priorizar las vulnerabilidades en función de su gravedad, impacto potencial y explotabilidad. Céntrese en corregir las vulnerabilidades críticas que podrían tener el mayor impacto en los sistemas y datos de la organización”.
Los archivos PDF como vector de infección inicial
“Los archivos PDF son un vector inicial común utilizado por los actores de amenazas debido a su amplio uso y popularidad en las empresas. Los archivos PDF suelen enviarse como archivos adjuntos de correo electrónico, lo que los convierte en un mecanismo eficaz de entrega de malware”, afirma Royce Lu. Según el informe de Palo Alto Networks, los archivos PDF son el principal tipo de archivo adjunto malicioso utilizado en el 66% de los casos en los que el malware se envió por correo electrónico. Los archivos PDF se utilizan ampliamente para compartir y distribuir documentos en varias plataformas. Están diseñados para ser compatibles entre sí, lo que significa que se pueden abrir y ver en diferentes navegadores, sistemas operativos y dispositivos. "Esta versatilidad los convierte en una opción atractiva para los actores de amenazas, ya que pueden apuntar a una amplia gama de víctimas potenciales en diferentes plataformas", afirma Royce Lu.
Los archivos PDF también se pueden diseñar para engañar a los usuarios mediante técnicas de ingeniería social. Los ciberdelincuentes suelen utilizar imágenes atractivas o contenido engañoso para engañar a los usuarios para que abran un archivo PDF, que puede contener enlaces de phishing, malware oculto o técnicas de explotación. Los actores de amenazas también toman desprevenidas a las víctimas mediante el uso de ataques de inyección mediante los cuales los atacantes buscan vulnerabilidades en sitios web o complementos y bibliotecas de terceros y las explotan para insertar scripts maliciosos en sitios web legítimos. "Los sitios web creados con WordPress se han convertido en un objetivo principal", advierte Palo Alto Networks, añadiendo que esto podría indicar que uno o más complementos de terceros vulnerables podrían haber permitido a los actores de amenazas realizar inyecciones. scripts maliciosos.
Variantes más utilizadas de la familia de malware Ramnit
En cuanto al malware más utilizado, el proveedor observó que las variantes de Ramnit fueron la familia de malware más comúnmente implementada el año pasado. "Al revisar decenas de miles de muestras de malware de nuestra telemetría, descubrimos que la familia de malware Ramnit tenía el mayor número de variantes en nuestros resultados de detección", se lee en el informe. Ramnit es una cepa de malware popular que ha estado activa desde 2010. Comenzó como un gusano y un troyano bancario, pero ha evolucionado hasta convertirse en una cepa de malware multifuncional. Se dirige a portales de banca en línea e inyecta código malicioso en los navegadores web.
"Este código captura datos del usuario, como credenciales de inicio de sesión, detalles bancarios y datos de transacciones, lo que permite a los actores de amenazas obtener acceso no autorizado a las cuentas financieras de las víctimas", continúa Royce Lu. Ramnit infecta sistemas explotando vulnerabilidades o utilizando técnicas de ingeniería social para engañar a los usuarios para que ejecuten archivos maliciosos o visiten sitios web comprometidos. "Una vez dentro de un sistema, Ramnit establece persistencia creando entradas de registro o anexándose a los procesos de inicio, asegurando que permanezca activo incluso después de que el sistema se reinicie", señala el ingeniero jefe de Palo Alto. Ramnit puede convertir los sistemas infectados en una botnet. Establece una infraestructura de comando y control (C&C) que permite a los actores de amenazas controlar y coordinar de forma remota las acciones de las máquinas comprometidas. Esto les permite emitir comandos, proporcionar actualizaciones y orquestar diversas actividades maliciosas a través de la botnet, dijo Lu.
La infraestructura crítica y Linux siguen siendo objetivos populares
Palo Alto también descubrió que el número promedio de ataques por cliente en manufactura, servicios públicos y energía aumentó un 238% el año pasado. La compañía también observó que el malware dirigido a Linux está aumentando. Los atacantes buscan nuevas oportunidades en cargas de trabajo en la nube y puntos finales de IoT que ejecutan sistemas operativos tipo Unix.
"La creciente prevalencia de esta familia de sistemas operativos entre dispositivos móviles y conectados podría explicar por qué algunos atacantes están volviendo sus ojos hacia los sistemas Linux", dijo Palo Alto en el informe. Para 2023, la compañía predice que las amenazas evasivas serán cada vez más complejas, la propagación de malware a través de vulnerabilidades seguirá aumentando y el malware cifrado seguirá proliferando.
Otras noticias que te pueden interesar