Pronto: Hemos oído hablar de IA generativas como ChatGPT que se usan para crear código malicioso antes, pero los piratas informáticos las están usando para propagar malware de una manera diferente: usando su nueva popularidad como señuelo.

La empresa matriz de Facebook, Meta, publicó esta semana su última investigación sobre amenazas y análisis técnico sobre campañas persistentes de malware. El informe advierte que descubrió diez familias de malware, incluidas DuckTail y NodeStealer, que se hacen pasar por ChatGPT y otras herramientas generativas de inteligencia artificial, dirigidas a personas a través de extensiones de navegador maliciosas, anuncios y varias plataformas de redes sociales. Su objetivo es publicar anuncios no autorizados de cuentas comerciales comprometidas en Internet.

“En un caso, hemos visto a actores de amenazas crear extensiones de navegador maliciosas disponibles en tiendas web oficiales que afirman ofrecer herramientas basadas en ChatGPT”, dijeron los ingenieros de seguridad de Meta, Duc H. Nguyen y Ryan Victory. “Luego promocionarían estas extensiones maliciosas en las redes sociales y a través de resultados de búsqueda patrocinados para engañar a las personas para que descarguen malware”.

Meta dijo que ha detectado e interrumpido estas operaciones de malware, incluidas las familias de malware no reportadas anteriormente, y ya ha visto una rápida adaptación del adversario en respuesta.

Una forma segura de infectarse

TechCrunch escribe que DuckTail se originó en Vietnam y se ha dirigido a los usuarios de Facebook desde 2021. El malware roba las cookies del navegador y secuestra las sesiones iniciadas para robar los datos de la víctima, incluida la información de la cuenta, los detalles de inicio de sesión, la ubicación y los códigos de autenticación de dos factores. También puede secuestrar cualquier cuenta comercial de Facebook a la que tenga acceso la víctima.

NodeStealer fue identificado por Facebook en enero. Se dirige a los navegadores de Internet en Windows con el objetivo de robar cookies y nombres de usuario y contraseñas guardados para, en última instancia, comprometer las cuentas de Facebook, Gmail y Outlook. También se origina en Vietnam y es distribuido por actores de amenazas en el país.

Meta dice que rápidamente tomó medidas para interrumpir NodeStealer, incluido el envío de solicitudes de eliminación a registradores externos, proveedores de alojamiento y servicios de aplicaciones como Namecheap, que fueron atacados por el malware para facilitar la distribución.

El gigante de las redes sociales dijo que no ha observado nuevas muestras de malware de la familia NodeStealer desde el 27 de febrero de este año, aunque continúa monitoreando cualquier actividad futura.

Los ciberdelincuentes aprovechan rápidamente las últimas tendencias y los servicios populares como una forma de propagar malware. Los ejemplos anteriores incluyen MSI Afterburner, Roblox e incluso Cyberpunk 2077. Pero esta es la primera vez que vemos algo que también puede escribir código malicioso como señuelo.