AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Phishing avanzado utiliza LLMs para evadir defensas: SVG maliciosos en la mira de Microsoft**

admin

### Introducción

Microsoft ha emitido una alerta dirigida a la comunidad de ciberseguridad acerca de una sofisticada campaña de phishing que, según sus análisis, está utilizando código generado por grandes modelos de lenguaje (LLMs) para camuflar cargas maliciosas y esquivar los controles de seguridad tradicionales. El ataque, centrado principalmente en organizaciones estadounidenses, destaca por su uso innovador de archivos SVG manipulados y por la integración de terminología empresarial y estructuras sintéticas que dificultan su detección.

### Contexto del Incidente

La campaña, identificada a principios de junio de 2024, representa una evolución significativa en las tácticas de ingeniería social y ofuscación de código. Los atacantes han optado por focalizar sus esfuerzos en sectores corporativos de alto valor en Estados Unidos, aprovechando la confianza en comunicaciones empresariales y la adopción masiva de soluciones de correo electrónico como Microsoft 365.

El uso de LLMs, como GPT-4, para generar fragmentos de código y textos convincentes, está permitiendo a los actores de amenazas crear mensajes de phishing mucho más creíbles y difíciles de distinguir de comunicaciones legítimas. Esta tendencia refleja una peligrosa convergencia entre la inteligencia artificial generativa y las técnicas tradicionales de ataque.

### Detalles Técnicos

El vector de entrada principal consiste en correos electrónicos que incluyen archivos adjuntos en formato SVG, los cuales contienen scripts JavaScript ofuscados. Microsoft ha observado que el código malicioso dentro de estos SVG presenta patrones sintácticos y semánticos característicos de contenido generado por LLMs, como la inserción de terminología empresarial y estructuras de código poco usuales que dificultan la detección basada en firmas.

#### Vulnerabilidades y referencias

– **No se ha asignado un CVE específico** para esta campaña, ya que explota la falta de controles en la manipulación de archivos SVG en clientes de correo y navegadores.
– **Vectores de ataque:** Phishing por correo electrónico, archivos adjuntos SVG, carga útil en JavaScript, evasión de filtros antimalware.
– **TTPs MITRE ATT&CK:**
– T1566 (Phishing)
– T1204 (User Execution)
– T1027 (Obfuscated Files or Information)
– T1059.007 (JavaScript)
– **Indicadores de compromiso (IoC):**
– Archivos SVG con nomenclatura empresarial (“Invoice”, “Statement”, “Business-Report”).
– Uso de dominios recientemente registrados y servidores proxy para eludir listas negras.
– Cadenas base64 y funciones de desencriptado generadas automáticamente.

Los investigadores han detectado que algunos fragmentos del código parecen haber sido creados utilizando prompts complejos en LLMs, lo que otorga una capa adicional de variabilidad y complica la generación de reglas YARA efectivas.

### Impacto y Riesgos

El principal riesgo reside en la capacidad del ataque para evadir soluciones de seguridad tradicionales, dado que los archivos SVG rara vez se consideran vectores de ataque prioritarios y pueden pasar desapercibidos en sandboxings o filtros convencionales. Las organizaciones afectadas enfrentan riesgos de robo de credenciales, instalación de troyanos de acceso remoto (RATs) y compromiso de cuentas corporativas.

Según estimaciones de Microsoft, al menos un 15% de los intentos de phishing dirigidos a organizaciones Fortune 500 en EE. UU. durante la última semana incorporaron esta técnica. El potencial de daño económico es significativo, con pérdidas medias por incidente que pueden superar los 250.000 dólares, especialmente si se produce un movimiento lateral exitoso o exfiltración de datos (GDPR, NIS2).

### Medidas de Mitigación y Recomendaciones

Microsoft y expertos del sector recomiendan las siguientes acciones inmediatas:

– **Bloqueo y análisis de archivos SVG** en gateways de correo electrónico y proxies web.
– **Actualización de firmas antimalware y despliegue de reglas YARA específicas** para detectar scripts JavaScript ofuscados en SVG.
– **Implementación de MFA** (autenticación multifactor) en todos los accesos de correo y aplicaciones críticas.
– **Formación continua a empleados** sobre phishing avanzado y uso de IA en ataques.
– **Monitorización activa de logs** en SIEM para identificar comportamientos anómalos relacionados con aperturas de archivos SVG o ejecuciones de JavaScript no autorizadas.

### Opinión de Expertos

Analistas de ciberseguridad del SANS Institute y miembros de la comunidad OSINT han señalado que este tipo de ataques marcan un antes y un después en el uso de IA generativa en el cibercrimen. “El aprovechamiento de LLMs no solo hace que los mensajes sean más difíciles de detectar, sino que multiplica la escala y variabilidad de los ataques. Los SOCs deben adaptar rápidamente sus modelos de detección a este nuevo paradigma”, señala un investigador de Recorded Future.

### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la urgencia de revisar políticas de gestión de archivos adjuntos y reforzar la monitorización proactiva, especialmente ante la inminente entrada en vigor de normativas como NIS2 y la actualización de los requisitos de notificación de incidentes bajo GDPR. Los usuarios corporativos, por su parte, deben estar alerta ante archivos SVG inesperados y reportar cualquier comunicación sospechosa.

### Conclusiones

La campaña de phishing identificada por Microsoft marca una nueva etapa en la sofisticación del cibercrimen, fusionando la potencia de la IA generativa con vectores de ataque poco convencionales. La defensa efectiva exige una combinación de controles técnicos, concienciación y adaptación continua a las nuevas amenazas emergentes. Las organizaciones que no actualicen sus defensas frente a este tipo de técnicas quedarán expuestas a riesgos crecientes en un entorno cada vez más automatizado y hostil.

(Fuente: feeds.feedburner.com)