Cover Image for Hackers ocultan malware en imágenes de sitios web para evadir detección.

Hackers ocultan malware en imágenes de sitios web para evadir detección.

Varios grupos están aprovechando la misma cadena de infección para distribuir diferentes programas de robo de información.

Expertos han alertado sobre una nueva táctica empleada por los cibercriminales que consiste en ocultar malware dentro de imágenes alojadas en sitios web reconocidos. Un reciente informe de amenazas de HP Wolf Security, basado en el análisis de millones de puntos finales, indica que en la actualidad hay amplias campañas activas que distribuyen dos tipos de infostealers: VIP Keylogger y 0bj3ctivityStealer. Al utilizar técnicas y cargadores similares, los investigadores sugieren que al menos dos grupos están aprovechando los mismos kits de malware para ejecutar diferentes ataques.

Los atacantes ocultan el código malicioso en imágenes de sitios de almacenamiento de archivos, como archive.org, utilizando el mismo cargador para instalar el payload final. Esta técnica les permite evadir las detecciones, ya que, al descargarse desde sitios reputados, los archivos de imagen parecen inofensivos, logrando así eludir la seguridad de red.

El esquema del ataque suele iniciarse con un correo electrónico de phishing que se presenta falsamente como una factura o un pedido de compra. Adjunto a este correo, generalmente se encuentra un documento de Excel diseñado para explotar una vulnerabilidad antigua en el Editor de Ecuaciones (CVE-2017-11882), lo que permite la descarga de un archivo VBScript.

Alex Holland, investigador principal de amenazas en el HP Security Lab, menciona que los kits de phishing, junto a herramientas de inteligencia artificial generativa (GenAI), han simplificado significativamente el acceso a técnicas de malware, aumentando el riesgo presente: “Esto permite a los grupos concentrarse en engañar a sus objetivos y seleccionar el mejor payload, por ejemplo, dirigiéndose a jugadores mediante repositorios de cheats maliciosos”.

Según los investigadores, los delincuentes están utilizando GenAI para crear documentos HTML maliciosos. También identificaron una campaña de troyano de acceso remoto (RAT) llamada XWorm, que fue iniciada a través de HTML smuggling, la cual contenía un código maligno diseñado para descargar y ejecutar el malware. El cargador parece haber sido evidentemente escrito por una IA, ya que incluía descripciones detalladas línea por línea y un diseño específico de la página HTML.

Tanto VIP Keylogger como 0bj3ctivityStealer son malware de tipo infostealer, cuya función es registrar y exfiltrar información sensible, como contraseñas, información sobre billeteras de criptomonedas, y otros archivos delicados.