Un malware infostealer distribué via un script PowerShell potentiellement généré par une IA
HomePowershellMalware Infostealer distribuido a través de un script PowerShell potencialmente generado por IA
Powershell

Malware Infostealer distribuido a través de un script PowerShell potencialmente generado por IA

By Hervé , on 7 mayo 2024 , updated on 7 mayo 2024 — I a, ladrón de información, malware, secuencia de comandos de powershell, seguridad informatica - 3 minutes to read
Partager cet article :

Malware Infostealer distribuido a través de un script PowerShell potencialmente generado por IA

En marzo de 2024, investigadores de seguridad detectaron una campaña maliciosa dirigida a varias organizaciones alemanas, atribuida al grupo de hackers TA547, también conocido como Scully Spider. Este grupo, activo desde 2017 y catalogado como “broker de acceso inicial”, también se ha dirigido a organizaciones de España, Suiza, Austria y Estados Unidos.

Para llevar a cabo su ataque, los ciberdelincuentes utilizaron una técnica sofisticada: generar un script PowerShell. En esta campaña intentaron suplantar la marca alemana Metro enviando correos electrónicos maliciosos que contenían una factura en formato ZIP como archivo adjunto. Para escapar de los análisis de seguridad, este archivo ZIP fue protegido con la contraseña “MAR26”. Una vez abierto, activaba la ejecución de un script remoto a través de PowerShell.

El objetivo final de este ataque era infectar las máquinas de las víctimas con un malware conocido como Rhadamanthys, que es un ladrón de información. Este tipo de malware tiene como objetivo robar información confidencial, como credenciales y cookies, de cada máquina infectada.

¿Un script de PowerShell generado con IA?

Comentarios detallados que preceden a cada línea de código en el script de PowerShell.

Al analizar el script PowerShell utilizado por los ciberdelincuentes se observó una característica interesante: cada línea de código estaba precedida por un comentario muy bien escrito, similar a los comentarios generados por la inteligencia artificial cuando se solicita ayuda sobre una parte del código.

Por lo tanto, los investigadores de seguridad plantearon la hipótesis de que este script se generó utilizando IA generativa como ChatGPT, Gemini o Microsoft Copilot. Aunque esta hipótesis no está 100% confirmada, es muy probable que los ciberdelincuentes hayan utilizado IA para escribir o reescribir el código.

Lire aussi :  No olvide actualizar su firewall de Palo Alto: se ha descubierto una vulnerabilidad de seguridad CVE-2024-3400

Es importante señalar que en este caso específico, la IA no tenía intenciones maliciosas y no pudo anticipar que este código se usaría para propagar malware. Sin embargo, este uso de la IA plantea dudas sobre la capacidad de los ciberdelincuentes de aprovechar los avances tecnológicos para llevar a cabo sus ataques de formas más sofisticadas.

Este hallazgo también resalta la necesidad de que los profesionales de la ciberseguridad se mantengan constantemente actualizados y familiarizados con las nuevas tecnologías y técnicas utilizadas por los ciberdelincuentes. La lucha contra los ataques informáticos es una cuestión cada vez más compleja que requiere conocimientos profundos y un seguimiento constante.

Fuentes:
– Artículo original: Punto de prueba
Computadora que suena

Hervé

Comments

Leave a comment

Your comment will be revised by the site if needed.