AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Sitios web maliciosos posicionados para “ChatGPT” y “Luma AI” distribuyen Lumma y Vidar Infostealer

admin

Introducción

El crecimiento exponencial del interés en herramientas de inteligencia artificial generativa, como ChatGPT y Luma AI, ha provocado que actores maliciosos adapten rápidamente sus tácticas de distribución de malware. Investigadores de ciberseguridad han detectado campañas activas donde sitios web manipulados, optimizados para aparecer en los primeros resultados de Google, están siendo utilizados como vector inicial para la propagación de infostealers como Lumma y Vidar, así como otras familias de malware. En este artículo, se analiza en profundidad la naturaleza técnica de estas campañas, los riesgos asociados y las mejores prácticas para mitigar su impacto.

Contexto del Incidente o Vulnerabilidad

Durante los últimos meses, se ha observado una tendencia creciente en la utilización de técnicas de SEO (Search Engine Optimization) Black Hat por parte de operadores de amenazas. Estas técnicas buscan posicionar páginas web fraudulentas entre los primeros resultados de búsqueda de términos populares, como “descargar ChatGPT”, “Luma AI gratis” o “instalar ChatGPT para PC”. El objetivo es redirigir a usuarios desprevenidos —incluidos empleados de empresas y administradores de sistemas— hacia sitios desde los cuales se distribuye software malicioso en lugar de las aplicaciones legítimas.

El fenómeno coincide con el aumento de la demanda de herramientas de IA, lo que ha llevado a un mayor número de búsquedas y clics en páginas no oficiales. Según los datos de diversas firmas de threat intelligence, estas campañas han logrado afectar a miles de usuarios en Europa y América, comprometiendo tanto equipos personales como estaciones de trabajo corporativas.

Detalles Técnicos

CVE asociadas y vectores de ataque

Aunque la campaña no explota directamente vulnerabilidades específicas (no se han registrado CVE asociadas al vector inicial), utiliza ingeniería social y SEO malicioso para atraer víctimas. Los atacantes emplean técnicas como keyword stuffing, generación automática de backlinks y uso de dominios typosquatting (por ejemplo, “chatgpt-dowload[.]site” o “lumaia-app[.]online”).

Una vez que el usuario accede al sitio fraudulento y descarga el supuesto instalador, se ejecuta un dropper que actúa como precursor del infostealer. Se han identificado variantes empaquetadas mediante compiladores como PyInstaller y herramientas de ofuscación como UPX, dificultando la detección por soluciones antimalware tradicionales.

TTPs y frameworks

– MITRE ATT&CK:
– T1566.002 (Phishing: Spearphishing via Link)
– T1195.002 (Supply Chain Compromise: Compromise Software Supply Chain)
– T1059 (Command and Scripting Interpreter)
– T1071.001 (Application Layer Protocol: Web Protocols)
– Herramientas y frameworks:
– Uso de Metasploit para payloads personalizados.
– Empleo de Cobalt Strike para pivotar tras la infección inicial.
– Implantación de infostealers Lumma (también conocido como LummaC2) y Vidar, ambos enfocados a robar credenciales, cookies de sesión y datos de autofill de navegadores.
– IoCs (Indicadores de Compromiso):
– Dominios maliciosos recién registrados y con baja reputación.
– Hashes de archivos identificados en VirusTotal.
– Dirección IPs asociadas a servidores C2 en países de bajo control regulatorio.

Impacto y Riesgos

El principal riesgo radica en la exfiltración masiva de credenciales corporativas y personales, tokens de acceso a plataformas cloud y datos bancarios. En entornos empresariales, esto puede facilitar ataques de escalada de privilegios, movimiento lateral e incluso campañas de ransomware secundarias. Se estima que, en los últimos dos meses, el 18% de las detecciones de Lumma y Vidar en Europa están vinculadas a descargas de supuestas aplicaciones de IA.

El impacto económico potencial supera los 4 millones de euros solo en daños directos por robo de credenciales y fraude financiero, sin contar el coste reputacional y las posibles sanciones regulatorias bajo GDPR y la inminente NIS2.

Medidas de Mitigación y Recomendaciones

– Restringir la descarga e instalación de software exclusivamente a repositorios oficiales y sitios verificados.
– Implementar filtros DNS y de navegación para bloquear dominios recién registrados o sospechosos.
– Actualizar regularmente las bases de datos de inteligencia de amenazas en EDR y SIEM.
– Formación continua a empleados sobre riesgos de ingeniería social y phishing asociados a IA.
– Monitorizar logs de acceso a navegadores y endpoints en busca de actividad anómala.
– Aplicar políticas de privilegios mínimos y MFA para accesos críticos.
– Revisar indicadores de compromiso recomendados por CERTs nacionales y por el Centro Criptológico Nacional.

Opinión de Expertos

Expertos del sector, como los analistas de Recorded Future y Kaspersky, coinciden en que el uso de técnicas SEO para propagar malware representa una evolución significativa en los métodos de ingeniería social. Como destaca el analista jefe de Threat Intelligence de S21sec: “La confianza ciega en los primeros resultados de Google, incluso entre profesionales de TI, crea una superficie de ataque difícil de mitigar solo con tecnología; la concienciación y el control de acceso son esenciales”.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus estrategias de control de acceso a la web y reforzar sus protocolos de onboarding de nuevas herramientas digitales, especialmente en lo relativo a IA. A nivel de usuario, el riesgo de comprometer credenciales corporativas y personales se incrementa considerablemente si no se siguen pautas estrictas de higiene digital. El cumplimiento normativo con GDPR y NIS2 exigirá, además, demostrar proactividad en la detección y contención de este tipo de ataques.

Conclusiones

La sofisticación de los actores de amenazas al emplear SEO malicioso y dominios typosquatting para distribuir infostealers como Lumma y Vidar, aprovechando la popularidad de aplicaciones de IA, supone un reto creciente para equipos de ciberseguridad. Solo la combinación de formación, tecnología avanzada de detección y una política restrictiva de instalación de software puede reducir el impacto de estas campañas.

(Fuente: www.darkreading.com)