- Los investigadores dicen que los delincuentes ocultan malware en imágenes alojadas en sitios web de buena reputación
- Se ha visto al menos dos grupos diferentes desplegando dos tipos de ladrones de información.
- HP Wolf Security afirma que las campañas están explotando una antigua vulnerabilidad en Excel
Los hackers se esconden malware Los expertos han advertido que las imágenes en los sitios web no se notan y ponen en riesgo el mayor número posible de ordenadores.
Nuevo informe sobre información sobre amenazas de caballos de fuerza Wolf Security afirma, basándose en datos de millones de puntos finales, que actualmente hay grandes campañas activas que difunden VIP Keylogger y 0bj3ctivityStealer. Dado que en ambos se utilizan las mismas técnicas y cargadores, los investigadores sospechan que dos grupos están utilizando las mismas combinaciones de malware para entregar diferentes cargas útiles.
“En ambas campañas, los atacantes ocultaron el mismo código malicioso en imágenes en sitios de alojamiento de archivos como archive.org, además de utilizar el mismo cargador para instalar la carga útil final”, explicaron los investigadores. “Estas técnicas ayudan a los atacantes a eludir la detección, ya que los archivos de imágenes parecen benignos cuando se descargan de sitios web conocidos, evitando la seguridad de la red, como los servidores proxy web basados en la reputación”.
Agregue GenAI a la mezcla
El ataque comienza con un correo electrónico de phishing que se hace pasar por una factura o una orden de compra. El archivo adjunto suele ser un documento de Excel diseñado para aprovechar CVE-2017-11882, un error antiguo en el Editor de ecuaciones, para descargar un archivo VBScript.
Alex Holland, investigador principal de amenazas en HP Security Lab, dijo que los kits de phishing, combinados con herramientas de inteligencia artificial generativa (GenAI), han reducido drásticamente la barrera de entrada, exacerbando la amenaza siempre presente del malware: “Esto permite a los grupos centrarse en Engaña a sus objetivos y elige la mejor carga útil para la misión, por ejemplo apuntando a los jugadores con repositorios de trampas maliciosas.
Al hablar de GenAI, los investigadores dijeron que los malhechores lo están utilizando para crear documentos HTML maliciosos. También identificaron una campaña del troyano de acceso remoto (RAT) XWorm iniciada por el secuestro de HTML, que contiene código malicioso que descarga y ejecuta malware.
Agregaron que está bastante claro que el cargador está escrito por IA, ya que incluye una descripción línea por línea y un diseño de página HTML.
Tanto VIP Keylogger como 0bj3ctivityStealer son malware que roba información y registra y filtra información confidencial como contraseñas, información de billeteras de criptomonedas, archivos confidenciales y más.