Se proporcionan consejos de mitigación de riesgos para cada una de estas amenazas de ciberseguridad.
La empresa de ciberseguridad ESET publicó su informe de amenazas del segundo semestre de 2023, y en él destacamos tres temas particularmente interesantes: el abuso del nombre ChatGPT por parte de los ciberdelincuentes, el aumento del malware Lumma Stealer y el software espía Android SpinOk SDK.
Salta a:
Los ciberdelincuentes abusan del nombre ChatGPT
En la segunda mitad de 2023, ESET bloqueó 650.000 intentos de acceder a dominios maliciosos cuyos nombres incluyen “chatgpt” o una cadena similar en una aparente referencia al chatbot ChatGPT.
Uno de los fraudes reside en la API OpenAI para ChatGPT. La API necesita una clave API privada que los usuarios deben proteger cuidadosamente y nunca exponer; sin embargo, algunas aplicaciones solicitan a los usuarios que proporcionen sus claves API para que las aplicaciones puedan usar ChatGPT. Como escribieron los investigadores de ESET, “si la aplicación envía su clave al servidor del desarrollador, puede haber poca o ninguna garantía de que su clave no se filtre o se use indebidamente, incluso si también se realiza la llamada a la API OpenAI”.
Se ha instalado en 7.000 servidores una aplicación web “ChatGPT Next Web” tomada como ejemplo por ESET. Se desconoce si esta aplicación se creó como parte de una campaña de phishing de claves API de ChatGPT o se expuso en Internet por otro motivo.
El uso de la clave API lo factura OpenAI. Entonces, una vez en posesión de la clave API privada de alguien y dependiendo de la suscripción de los usuarios o de la empresa, un atacante podría usarla para sus propias necesidades sin pagar; el atacante también podría revenderlo a otros ciberdelincuentes.
Además, en la segunda mitad de 2023 se observaron muchos nombres de dominio inspirados en ChatGPT, todos los cuales conducían a extensiones maliciosas del navegador Google Chrome detectadas como “JS/Chromex.Agent.BZ”. Un ejemplo es gptforchrome(.)com, que lleva a una extensión maliciosa (Figura A).
Figura A
Recomendaciones relacionadas con estas amenazas de seguridad de ChatGPT
Se debe educar a los usuarios para que detecten este tipo de amenazas y eviten navegar por sitios web sospechosos relacionados con ChatGPT. Deben proteger su clave API privada de ChatGPT y nunca compartirla.
El malware como servicio Lumma Stealer se está fortaleciendo
En el segundo semestre de 2023, los criptomineros maliciosos disminuyeron un 21 % en el panorama de amenazas de malware de criptomonedas, según ESET; sin embargo, los ladrones de criptomonedas han aumentado en más del 68% durante el mismo período, escribieron los investigadores.
Este fuerte aumento fue causado por una única amenaza específica: Lumma Stealer, también conocido como LummaC2 Stealer. Esta amenaza de malware como servicio se dirige a múltiples carteras de criptomonedas, así como a las credenciales de los usuarios y a las extensiones del navegador con autenticación de dos factores. También tiene capacidades de exfiltración, lo que la convierte en una herramienta que podría usarse tanto para fraude financiero como para fines de ciberespionaje.
Según ESET, la implementación de Lumma Stealer se triplicó entre el primer y el segundo semestre de 2023. Se ofrecen varios niveles para el malware con precios que oscilan entre 250 y 20 000 dólares. La opción más alta permite al comprador acceder al código fuente C completo del malware. El comprador también puede revender el malware independientemente de su desarrollador.
El malware Lumma Stealer comparte una base de código común con los infames ladrones de información Mars, Arkei y Vidar y es muy probable que sea desarrollado por el mismo autor. según la empresa de ciberseguridad Sekoia.
Se utilizan varios vectores de distribución para difundir Lumma Stealer; ESET observó estos métodos en la naturaleza: instalaciones de software pirateadas, YouTube, campañas falsas de actualización del navegador, red de entrega de contenido de Discord e instalación a través del cargador de malware de terceros Win/TrojanDownloader.Rugmi.
Consejos para protegerse contra este tipo de amenazas de malware
Es muy recomendable mantener siempre los sistemas operativos y su software actualizados y parcheados para evitar verse comprometidos por cualquier vulnerabilidad común que pueda provocar una infección de malware. Y nunca se debe permitir a los usuarios descargar e instalar software sin un análisis adecuado por parte del equipo de TI de la organización.
Android SpinOk SDK es un software espía destacado
Un kit de desarrollo de software de marketing móvil identificado como software espía SpinOk por ESET ascendió hasta convertirse en la séptima amenaza de Android más detectada en el segundo semestre de 2023 y el tipo de software espía más frecuente durante el período.
El SDK de SpinOk ofreció a los desarrolladores una plataforma de juegos destinada a monetizar el tráfico de aplicaciones. Varios desarrolladores incorporaron el SDK en sus aplicaciones, incluidas aplicaciones que ya están disponibles en los mercados oficiales de Android. Una vez que se ejecuta, la aplicación comienza a actuar como software espía y se conecta a un servidor de comando y control antes de comenzar a extraer datos del dispositivo Android, incluido el contenido del portapapeles potencialmente confidencial, según ESET.
El código malicioso tiene funciones para intentar pasar desapercibido. Utiliza el giroscopio y el magnetómetro del dispositivo para determinar si se está ejecutando en un entorno virtual o de laboratorio; si es así, cambia su comportamiento en un intento de evitar ser detectado por los investigadores.
El SDK se ha incorporado a varias aplicaciones legítimas de Android. De hecho, 101 aplicaciones de Android han utilizado el SDK malicioso, con más de 421 millones de descargas acumuladas, según informó en mayo de 2023 la empresa de ciberseguridad Doctor Web, que contactó con Google; luego, Google eliminó todas esas aplicaciones de Google Play Store. La empresa responsable de SpinOk se puso en contacto con Doctor Web y actualizó su módulo a la versión 2.4.2, que eliminó todas las funciones de software espía.
Una empresa llamada Roaster Earn explicó cómo terminaron instalando el SDK en su propia aplicación. Básicamente, la empresa OkSpin responsable del SDK de SpinOk se acercó a ellos con un “programa de crecimiento de ingresos”, que aceptaron, antes de que Google les notificara la eliminación de su aplicación porque contenía software espía. Este caso vuelve a ser un recordatorio del complejo problema de incorporar código de terceros en software del que los ciberdelincuentes abusan cada vez más.
Cómo mitigar el riesgo de utilizar código de terceros en el software
- Analice el código de terceros en busca de anomalías, cuando sea posible. Esto podría ayudar a evitar caer en códigos que contengan contenido o funcionalidades maliciosas.
- Utilice herramientas de análisis estático para detectar posibles vulnerabilidades o comportamientos.
- Supervise el tráfico de la red en busca de tráfico sospechoso o inesperado.
- Examine la reputación del proveedor de código y los comentarios sobre la organización, así como las certificaciones o auditorías de seguridad que el proveedor pueda compartir.
Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
