Anuncios de Bing Chat de Microsoft con IA pueden llevar a los usuarios a sitios de distribución de malware

-


Anuncios maliciosos servidos dentro del chatbot de inteligencia artificial (IA) de Microsoft Bing se están utilizando para distribuir malware cuando se buscan herramientas populares.



Los hallazgos provienen de Malwarebytes, que reveló que usuarios desprevenidos pueden ser engañados para visitar sitios preparados con trampas y para instalar malware directamente desde las conversaciones de Bing Chat.

Introducido por Microsoft en febrero de 2023, Bing Chat es una experiencia de búsqueda interactiva impulsada por el modelo de lenguaje grande de OpenAI llamado GPT-4. Un mes después, la empresa tecnológica comenzó a explorar la posibilidad de colocar anuncios en las conversaciones.

Pero este movimiento también ha abierto las puertas a actores de amenazas que recurren a tácticas de malvertising y propagan malware.

"Los anuncios pueden ser insertados en una conversación de Bing Chat de varias formas", dijo Jérôme Segura, director de inteligencia de amenazas de Malwarebytes. "Una de ellas es cuando un usuario pasa el ratón sobre un enlace y se muestra un anuncio antes que el resultado orgánico".

En un ejemplo destacado por el proveedor de ciberseguridad, una consulta en Bing Chat para descargar un software legítimo llamado Advanced IP Scanner devolvió un enlace que, al pasar el ratón por encima, mostraba un anuncio malicioso que apuntaba a un enlace fraudulento antes del sitio oficial que alojaba la herramienta.

Al hacer clic en el enlace, el usuario es redirigido a un sistema de dirección de tráfico (TDS) que identifica si la solicitud realmente proviene de un humano real (en lugar de un bot, rastreador o entorno de prueba) antes de llevarlo a una página de señuelo que contiene el instalador fraudulento.

El instalador está configurado para ejecutar un script de Visual Basic que se comunica con un servidor externo con el objetivo probable de recibir la carga de próxima etapa. La naturaleza exacta del malware entregado es actualmente desconocida.

Un aspecto destacado de la campaña es que el actor de amenazas logró infiltrarse en la cuenta publicitaria de un negocio legítimo en Australia y crear los anuncios.

"Los actores de amenazas continúan aprovechando los anuncios de búsqueda para redirigir a los usuarios a sitios maliciosos que alojan malware", dijo Segura. "Con páginas de destino convincentes, las víctimas pueden ser fácilmente engañadas para descargar malware sin darse cuenta".



Esta revelación llega cuando Akamai y Perception Point descubrieron una campaña de múltiples pasos que implica atacar los sistemas de hoteles, sitios de reservas y agencias de viajes con malware de robo de información y luego aprovechar el acceso a las cuentas para obtener datos financieros de clientes mediante páginas de reservas falsas.

"El atacante, haciéndose pasar por el hotel, se comunica con el cliente a través del sitio de reservas, instando al cliente a 'confirmar nuevamente su tarjeta de crédito', y luego roba la información del cliente", dijo Shiran Guez, investigador de Akamai, señalando cómo los ataques se aprovechan de la urgencia de la víctima para llevar a cabo la operación.

Cofense, en un informe publicado esta semana, dijo que el sector hotelero ha sido objeto de un "ataque de ingeniería social bien elaborado e innovador" diseñado para distribuir malware de robo de información como Lumma Stealer, RedLine Stealer, Stealc, Spidey Bot y Vidar.

"Hasta el momento, la campaña solo se dirige al sector hotelero, centrándose principalmente en cadenas de hoteles de lujo y resorts, y utiliza señuelos relacionados con ese sector, como solicitudes de reserva, cambios de reserva y solicitudes especiales", dijo Cofense.

"Los señuelos para los correos de reconocimiento y phishing coinciden y están bien pensados".

La empresa de gestión de amenazas de phishing corporativo dijo que también observó adjuntos HTML maliciosos destinados a llevar a cabo ataques de Browser-in-the-Browser (BitB) al mostrar ventanas emergentes aparentemente inocuas que incitan a los destinatarios de correos electrónicos a proporcionar sus credenciales de Microsoft.

En otro ejemplo de la naturaleza en constante evolución de los ataques de phishing, los actores de amenazas han comenzado a utilizar una técnica llamada ZeroFont, en la que una parte selecta del cuerpo del mensaje se escribe en una fuente con tamaño de cero píxeles para hacer que parezca que el correo electrónico ha pasado con éxito los controles de seguridad.

Específicamente, el ataque implica manipular las vistas previas de mensajes en Microsoft Outlook de manera que el texto "invisible" se encuentre al principio del mensaje. Esto aprovecha el hecho de que los clientes de correo electrónico muestran cualquier texto en la vista de lista, incluso si tiene tamaño de fuente cero.

"Aunque es una técnica con un impacto menor, aún podría confundir a algunos destinatarios haciéndoles creer que un mensaje de phishing es confiable", dijo el SANS Internet Storm Center (ISC). "Es, en cualquier caso, una pequeña adición más al conjunto de herramientas de los actores de amenazas que puede usarse para crear campañas de phishing más efectivas".

Estos descubrimientos son un indicio de que los actores de amenazas están encontrando constantemente nuevas formas de infiltrarse en objetivos desprevenidos. Los usuarios deben evitar hacer clic en enlaces no solicitados, incluso si parecen legítimos, ser sospechosos de mensajes urgentes o amenazantes que soliciten una acción inmediata y verificar las URL en busca de indicadores de engaño.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más