AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Cibercriminales Aprovechan Herramientas de Inteligencia Artificial para Distribuir Malware a Nivel Global

admin

#### Introducción

En los últimos meses, el panorama de amenazas ha experimentado una sofisticación significativa en las tácticas empleadas por los actores maliciosos, quienes han comenzado a explotar herramientas legítimas de inteligencia artificial (IA) y software de productividad para propagar malware. Esta tendencia, observada y analizada por Trend Micro, afecta a organizaciones de Europa, América y la región de Asia, Oriente Medio y África (AMEA), representando un desafío considerable para los equipos de ciberseguridad y los líderes responsables de la protección de infraestructuras críticas.

#### Contexto del Incidente o Vulnerabilidad

El uso de aplicaciones legítimas como vector de infección no es nuevo, pero la irrupción de software mejorado mediante IA introduce un nivel adicional de complejidad. Los atacantes emplean herramientas aparentemente inocuas, diseñadas para mejorar la productividad o facilitar tareas mediante IA, como chatbots, asistentes de escritura y plataformas de análisis de datos, para camuflar cargas maliciosas y eludir las defensas tradicionales. Según Trend Micro, esta táctica se ha detectado en campañas activas dirigidas a múltiples sectores, incluyendo finanzas, sanitario, manufactura y administración pública.

La proliferación de soluciones de IA en entornos corporativos, muchas veces sin una validación exhaustiva por parte de los equipos de seguridad, ha ampliado la superficie de ataque. Los adversarios aprovechan la confianza depositada en estos programas y la tendencia a descargar nuevas herramientas desde repositorios oficiales o sitios de terceros, facilitando la entrega de malware a escala global.

#### Detalles Técnicos

Las investigaciones han puesto de manifiesto que las campañas identificadas utilizan principalmente troyanos y backdoors ocultos en instaladores de herramientas IA populares. En algunos casos, los paquetes infectados incluyen variantes de malware conocidas, como FormBook, Agent Tesla o la familia de ransomware LockBit, modificadas para evadir detección mediante técnicas de ofuscación avanzada.

En cuanto a los vectores de ataque, se han observado los siguientes TTPs (MITRE ATT&CK):

– **T1195.002 (Supply Chain Compromise: Software Supply Chain)**: Inserción de código malicioso en software legítimo distribuido por canales oficiales o semi-oficiales.
– **T1204.002 (User Execution: Malicious File)**: Requiere la interacción del usuario para ejecutar el instalador infectado.
– **T1105 (Ingress Tool Transfer)**: Transferencia de herramientas o payloads adicionales una vez comprometido el host inicial.

Los Indicadores de Compromiso (IoC) reportados incluyen hashes SHA256 de binarios maliciosos, direcciones IP de C2 en Europa del Este y Asia, así como patrones de tráfico HTTPS anómalos generados por las herramientas IA infectadas.

Las versiones afectadas varían según la herramienta, pero se han identificado campañas contra versiones de ChatGPT Desktop Client <2.1.0, plugins de productividad para Office365 y apps de IA de código abierto descargadas desde repositorios no verificados.

Algunos exploits conocidos, como los módulos de Metasploit para la ejecución remota de código en instaladores MSI maliciosos, están siendo adaptados para automatizar la explotación y el despliegue de payloads personalizados, según el sector objetivo.

#### Impacto y Riesgos

El impacto potencial de estas campañas es significativo. Las organizaciones afectadas se enfrentan a riesgos de robo de credenciales, exfiltración de datos sensibles y, en casos extremos, cifrado de infraestructuras críticas mediante ransomware. Trend Micro estima que, durante el primer trimestre de 2024, al menos un 12% de los incidentes de malware en empresas medianas y grandes estuvieron relacionados con la descarga de software IA comprometido.

El alcance global de la campaña incrementa las posibilidades de ataque dirigido y lateral, mientras que la identificación tardía puede conllevar sanciones regulatorias bajo normativas como el GDPR en la UE o la inminente NIS2, especialmente en sectores críticos.

#### Medidas de Mitigación y Recomendaciones

Los especialistas recomiendan:

– **Verificación de la procedencia**: Descargar software únicamente desde fuentes oficiales y verificar firmas digitales.
– **Despliegue de EDR y sandboxing**: Analizar nuevos ejecutables en entornos aislados antes de su implementación.
– **Control de permisos**: Restringir la instalación de aplicaciones a usuarios no privilegiados.
– **Actualización de firmas y reglas YARA**: Incluir IoCs reportados y monitorizar actividades inusuales asociadas a herramientas de IA.
– **Formación y concienciación**: Educar a los empleados sobre los riesgos emergentes de las aplicaciones de IA y la ingeniería social asociada.

#### Opinión de Expertos

David Sancho, Senior Threat Researcher de Trend Micro, advierte: “La confianza ciega en herramientas de IA puede ser un talón de Aquiles para muchas empresas, especialmente si no existe un proceso riguroso de validación. Los atacantes están adaptando sus métodos para explotar la popularidad y rápida adopción de estas soluciones”.

Por su parte, expertos en el sector recomiendan implementar políticas de Zero Trust y segmentación de red para limitar el alcance de potenciales brechas.

#### Implicaciones para Empresas y Usuarios

La adopción acelerada de IA en el entorno corporativo exige una revisión urgente de los procesos de gestión de activos y control de aplicaciones. Las empresas deben adaptar sus políticas de seguridad para incluir la supervisión de software de IA y sus actualizaciones, además de reforzar los controles de acceso y la monitorización continua.

Para los usuarios finales, la principal recomendación es extremar la precaución al instalar nuevas herramientas y reportar cualquier comportamiento anómalo a los equipos de TI o ciberseguridad.

#### Conclusiones

La utilización de herramientas de inteligencia artificial como caballo de Troya para la distribución de malware representa una evolución significativa en las tácticas de los actores de amenazas. Las organizaciones deben actualizar sus estrategias de defensa, priorizando la validación de software y la educación de usuarios, para mitigar los riesgos asociados a esta tendencia emergente. La colaboración entre equipos de seguridad y los proveedores de software será clave para frenar el auge de estas campañas a nivel global.

(Fuente: feeds.feedburner.com)