Revista Byte TI Digital de Octubre, aquí

Accede a la Revista Byte TI Digital de Octubre, pinchando aquí

Comunidad de CIOs Revista Byte TI | Noticias tecnología

Únete a la Comunidad de Directivos de Tecnología, Ciberseguridad e Innovación Byte TI

Encontrarás un espacio diseñado para líderes como tú, donde podrás explorar tecnologías emergentes, compartir estrategias y colaborar en soluciones de vanguardia

Únete a la Comunidad Byte TI
malware ChatGPT

Alerta! Nueva campaña de malware mediante una aplicación falsa de ChatGPT

Por /

El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha identificado una nueva campaña maliciosa que involucra al troyano PipeMagic. Los atacantes están utilizando una aplicación falsa de ChatGPT como señuelo, desplegando una puerta trasera que permite el acceso remoto completo a los dispositivos comprometidos y la extracción de datos confidenciales. Además, este malware sirve como una vía de entrada para la introducción de más malware y el lanzamiento de nuevos ataques a través de la red corporativa.

Kaspersky detectó por primera vez la puerta trasera PipeMagic en 2022, un troyano basado en complementos que apuntaba a entidades en Asia. Este malware es capaz de funcionar tanto como puerta trasera como vía de acceso. En septiembre de 2024, el equipo GReAT de Kaspersky observó un resurgimiento de PipeMagic, esta vez dirigido a organizaciones en Arabia Saudita.

Esta versión utiliza una aplicación falsa de ChatGPT, creada con el lenguaje de programación Rust. A primera vista, parece legítima, ya que contiene varias bibliotecas comunes de Rust utilizadas en muchas otras aplicaciones basadas en Rust. Sin embargo, al ejecutarse, la aplicación muestra una pantalla en blanco sin interfaz visible y oculta un arreglo de datos cifrados de 105,615 bytes que es una carga útil maliciosa.

Pantalla en blanco mostrada por una aplicación falsa de ChatGPT

En la segunda etapa, el malware busca funciones clave de la API de Windows, localizando los desplazamientos de memoria correspondientes mediante un algoritmo de hash de nombres. A continuación, asigna memoria, carga la puerta trasera PipeMagic, ajusta la configuración necesaria y ejecuta el malware.

Los atacantes están utilizando como señuelo una aplicación falsa de ChatGPT, desplegando una puerta trasera que extrae datos confidenciales y permite el acceso remoto completo a los dispositivos comprometidos

Una de las características únicas de PipeMagic es que genera un arreglo aleatorio de 16 bytes para crear un pipe con nombre en el formato \.\pipe\1.<cadena hexadecimal>. Crea un hilo que continuamente genera este pipe, lee datos del mismo y luego lo destruye. En este sentido, se utiliza para recibir cargas útiles codificadas y señales de parada a través de la interfaz local predeterminada. PipeMagic generalmente funciona con varios complementos descargados de un servidor de comando y control (C2), que, en este caso, estaba alojado en Microsoft Azure.

“Los ciberdelincuentes están constantemente evolucionando sus estrategias para llegar a víctimas más prolíficas y ampliar su presencia, como lo demuestra la reciente expansión del troyano PipeMagic de Asia a Arabia Saudita. Dadas sus capacidades, esperamos ver un aumento en los ataques que aprovechan esta puerta trasera”, comenta Sergey Lozhkin, analista principal de seguridad en GReAT de Kaspersky.

Consejos de seguridad

Para evitar caer víctima de un ataque dirigido por actores de amenazas conocidos o desconocidos, como en el caso de la app falsa de ChatGPT, los analistas de Kaspersky recomiendan implementar las siguientes medidas:

  • Ten precaución al descargar software de Internet, especialmente si es desde páginas web de terceros. Siempre intenta descargar software desde la web oficial de la empresa o servicio que estés utilizando.
  • Proporciona a tu equipo SOC acceso a la inteligencia de amenazas más reciente (TI). Kaspersky Threat Intelligence es un punto de acceso único para la TI de la empresa, ofreciendo datos e información sobre ciberataques recolectados por Kaspersky a lo largo de más de 20 años.
  • Mejora las habilidades de tu equipo de ciberseguridad para enfrentar las últimas amenazas dirigidas mediante los cursos de formación online de Kaspersky, desarrollados por los expertos de GReAT.
  • Para la detección, investigación y remediación oportuna de incidentes a nivel de endpoints, implementa soluciones EDR como Kaspersky Endpoint Detection and Response.
  • Además de adoptar una protección esencial para los endpoints, implementa una solución de seguridad a nivel corporativo que detecte amenazas avanzadas a nivel de red en una etapa temprana, como la Kaspersky Anti Targeted Attack Platform.
  • Dado que muchos ataques dirigidos comienzan con técnicas de phishing u otras formas de ingeniería social, introduce entrenamiento de concienciación en seguridad y enseña habilidades prácticas a tu equipo, por ejemplo, a través de la Kaspersky Automated Security Awareness Platform.

Entradas relacionadas

Deja un comentario

Scroll al inicio