Las herramientas que utilizan Inteligencia Artificial han ganado mucha notoriedad en los últimos meses, especialmente aquellas que generan imágenes a partir de descripciones textuales proporcionadas por los usuarios. Hay muchas de estas herramientas disponibles, pero MidJourney es una de las mejor posicionadas. Los delincuentes son conscientes de esto y no dudan en usar su nombre para intentar engañar a nuevas víctimas y propagar campañas maliciosas.

A continuación, te presentamos el último blogpost de Josep Albors, director de investigación y concienciación de ESET España, sobre un malware que se disfraza de la popular herramienta de IA MidJourney para robar información.

Aplicaciones que Utilizan para crear Campañas Maliciosas

Siendo MidJourney una de las herramientas de IA generativa más populares, junto con Sora, DALL-E y ChatGPT, no sorprende que los delincuentes intenten aprovecharse de su notoriedad para lanzar campañas dirigidas a conseguir nuevas víctimas. De hecho, esto es algo que ya hemos observado en el pasado, utilizando, por ejemplo, anuncios de Facebook como cebo para atraer a los usuarios.

En este tipo de campañas maliciosas, tras captar la atención de los usuarios mediante una publicación en redes sociales, se les redirige a sitios web fraudulentos que se hacen pasar por oficiales y ofrecen la descarga de un ejecutable, supuestamente para instalar la herramienta falsificada. Recientemente, hemos identificado un ejemplo que utilizaba la siguiente página web fraudulenta.

La página web nos alienta a hacer clic en un botón de descarga para obtener el instalador, sin embargo, es notable que la web anuncie la descarga de la herramienta en su versión para macOS cuando en realidad estamos descargando un archivo EXE destinado a sistemas operativos Windows.

Este desajuste entre lo que se promociona y lo que realmente se ofrece puede resultar confuso para los usuarios que esperan descargar la versión adecuada para su sistema. Es importante que los desarrolladores corrijan esta discrepancia para evitar malentendidos y garantizar una experiencia de usuario más coherente y satisfactoria.

Es probable que los delincuentes no hayan tomado la molestia de personalizar la plantilla, dado que estas campañas suelen basarse en el Malware-as-a-Service. En este modelo, un grupo o varios de delincuentes se encargan de crear los archivos maliciosos, diseñar sitios web fraudulentos o preparar anuncios en redes sociales. Estos servicios se venden en forma de paquetes, generalmente a aspirantes a ciberdelincuentes, por un precio accesible.

Revisando el stealer

Cuando descargamos el archivo ejecutable proporcionado en el sitio web fraudulento, notamos que tiene un tamaño considerable, mayor de lo que suelen tener las muestras típicas de código malicioso.

Algunos delincuentes optan por incluir relleno en estos archivos maliciosos para dificultar los análisis estáticos de las soluciones de seguridad. Sin embargo, esta táctica no es efectiva contra un análisis dinámico adecuadamente configurado.

Este tipo de análisis examina el funcionamiento del malware, incluidas las modificaciones que intenta realizar en el sistema y las posibles conexiones externas.

De este modo, podemos obtener una gran cantidad de información sobre las verdaderas intenciones del archivo ejecutable que acabamos de descargar. Por ejemplo, podemos analizar los procesos que intenta cargar en el sistema, si ejecuta comandos PowerShell (como en este caso) o qué tipo de actividad maliciosa lleva a cabo. En la muestra utilizada por los delincuentes en esta campaña, hemos confirmado que su objetivo es el robo de información. Esta información puede incluir contraseñas almacenadas en aplicaciones del sistema, datos bancarios o de carteras de criptomonedas, historial de navegación e incluso cookies de sesión guardadas por los navegadores.

Todo este conjunto de información recopilada por el spyware puede ser enviada de diversas maneras a los delincuentes. En el caso del malware en cuestión, observamos que utilizan hasta tres servidores de mando y control (C2). Estos incluyen un servidor controlado por los atacantes, un perfil en la plataforma de distribución de videojuegos Steam y, por último, un canal en Telegram.

Uso de Telegram y Steam en Campañas Maliciosas

Al examinar un perfil de usuario en Steam que los delincuentes utilizan como centro de mando y control, notamos lo que parece ser un nombre aleatorio seguido de una dirección IP. En casos anteriores de este malware, se ha observado un patrón recurrente en el historial de nombres de cuenta de usuario en Steam, donde el nombre aleatorio del usuario permanece constante y solo cambia la dirección IP. Esto permite que el servidor de mando y control sea modificado fácilmente, cambiando solo la dirección IP indicada en el nombre de usuario.

Es común que los infostealers utilicen canales de Telegram como puntos de control y comando para enviar la información robada a los delincuentes. Observamos que se emplea la misma técnica que en el caso de las cuentas de usuarios de Steam: un nombre aleatorio seguido de una URL de redireccionamiento. La diferencia principal radica en que la creación de una cuenta de Steam es menos compleja para los atacantes, ya que no requiere un número de teléfono. Sin embargo, seguimos viendo un uso constante de Telegram para enviar todo tipo de información sustraída a los delincuentes.

El malware utilizado en esta ocasión se llama Vidar, un infostealer con varios años de antigüedad que se deriva de un malware previo conocido como Arkei. Esto evidencia que el mundo del malware está en constante cambio y que los delincuentes son capaces de adaptarse a las demandas de sus clientes cibercriminales, evolucionando para hacer que su uso sea más sencillo y, al mismo tiempo, efectivo.

Conclusión Campañas Maliciosas

Para evitar caer en trampas como la que acabamos de analizar, es esencial asegurarnos siempre de estar en sitios web legítimos, evitando la descarga de software de procedencia dudosa y empleando soluciones de seguridad capaces de neutralizar diversas amenazas.

Además, mantenernos informados sobre las tácticas utilizadas por los ciberdelincuentes dificultará que nos convirtamos en una de sus víctimas.