El malware como servicio amplía objetivos apoyado por la IA

El malware como servicio (MaaS) es otro de los grandes problemas de la ciberseguridad mundial ya que permite a los ciberdelincuentes realizar campañas maliciosas sin contar con habilidades para desarrollar su propio malware.

El fenómeno se define por la compra o alquiler de malware para ciberataques y es altamente rentable para sus creadores y suscriptores de estos esquemas de afiliados que brindan a los atacantes de bajo nivel la capacidad de distribuir y administrar campañas que hasta ahora habíamos conocido principalmente como ransomware como servicio o phishing como servicio.

Malware como servicio, otras vías de acción

Proofpoint ha alertado de una campaña maliciosa que varía el método de ataque, ya que se hace pasar por un software de gestión remota legítimo. Ello demuestra nuevamente, a juicio de la firma de seguridad, cómo los ciberdelincuentes usan cada vez más la estética de herramientas empresariales legítimas, así como otros elementos de confianza, y la asistencia de la IA para acelerar la innovación en sus delitos.

En esta ocasión se trata de una nueva plataforma de malware como servicio (MaaS), TrustConnect, que se presenta como software de TI empresarial para monitorización y gestión a distancia (RMM), pero en realidad es un troyano de acceso remoto (RAT).

TrustConnect funciona como una puerta trasera con capacidades de escritorio remoto, transferencia de archivos y ejecución de comandos. Creada el pasado enero, el dominio de este malware (trustconnectsoftware[.]com) se mostraba como un sitio web comercial diseñado para convencer a los usuarios de que era una aplicación de RMM legítima, proporcionando estadísticas de clientes y documentación del software falsas, aunque en realidad funcionaba como inicio de sesión del MaaS. Proofpoint sospecha que los ciberdelincuentes utilizaron un modelo de lenguaje grande (LLM) para crear el sitio.

Estos obtuvieron incluso un certificado legítimo de firma de código de validación extendida para firmar digitalmente el malware, lo que les ayudó a eludir los controles de seguridad antes de que los investigadores coordinaran su revocación. La obtención de estos certificados EV es bastante costosa y requiere niveles adicionales de validación por parte del titular del dominio. Los atacantes pueden pagar a proveedores maliciosos por ellos o crearlos por su cuenta.

Aunque TrustConnect solo se hizo pasar por un RMM legítimo, los señuelos, las cadenas de ataque y las cargas útiles posteriores indican una superposición con las técnicas y los métodos de entrega observados en campañas de RMM por parte de múltiples actores de amenazas. Estos utilizaban una variedad de temas como reclamo, incluyendo impuestos, compartición de documentos, invitaciones a reuniones, eventos y asuntos gubernamentales. El MaaS proporcionaba plantillas para muchos tipos diferentes de abuso de marca.

Proofpoint, en colaboración con otros socios de inteligencia, consiguió interrumpir parte de la infraestructura del malware, causando un impacto en las actividades cibercriminales. Los atacantes, sin embargo, demostraron resiliencia con la identificación de otra versión renombrada de RMM fraudulento, DocConnect, que comenzaron a probar rápidamente.

Es probable que los sitios web de TrustConnect y DocConnect hayan sido desarrollados con asistencia de agentes de IA. «Esto subraya cómo los ciberdelincuentes están adoptando activamente esta tecnología en su beneficio, reflejando la tendencia de su uso en la sociedad en general», explican los investigadores.