Los investigadores de amenazas han revelado un nuevo ciberataque que utiliza correos electrónicos enmascarados para engañar a los sistemas de aprendizaje automático (ML), permitiendo la infiltración de redes empresariales.
Un aviso publicado por SlashNext, denominó a la táctica como un ataque de «desbordamiento de conversación», un método que evade las medidas de seguridad avanzadas para entregar mensajes de phishing directamente en las bandejas de entrada de las víctimas.
Esta técnica permite a los cibercriminales engañar a los sistemas de seguridad al enviar correos electrónicos enmascarados, permitiendo que los mensajes de phishing eviten los controles de seguridad y apunten a ejecutivos de alto nivel para el robo de credenciales. Los ciberdelincuentes elaboran correos electrónicos con indicaciones visibles para que los destinatarios hagan clic en enlaces o proporcionen información, mientras ocultan texto para engañar a los algoritmos de IA/ML. Al ocultar contenido malicioso dentro de texto inofensivo, los ciberdelincuentes pueden evadir plataformas de seguridad avanzadas y engañar a las herramientas de aprendizaje automático para que acepten correos electrónicos como legítimos. Los investigadores de amenazas de SlashNext han observado a actores de amenazas utilizando este método para entregar cargas maliciosas y evadir controles de seguridad en tiempo real, con grupos de hackers criminales refinando continuamente esta herramienta.
Los correos electrónicos maliciosos constan de dos componentes distintos. La parte visible incita al destinatario a tomar medidas, como ingresar credenciales o hacer clic en enlaces. Debajo de esto, numerosas líneas en blanco separan la sección oculta, que contiene texto benigno que se asemeja al contenido de un correo electrónico ordinario.
Este texto oculto está diseñado para engañar a los algoritmos de aprendizaje automático para que categoricen el correo electrónico como legítimo, permitiéndole evadir controles de seguridad y llegar a la bandeja de entrada del objetivo.
Esta técnica ha sido observada repetidamente por los investigadores de SlashNext, lo que indica pruebas beta potenciales por parte de actores de amenazas para evadir plataformas de seguridad de inteligencia artificial (IA) y ML. A diferencia de los controles de seguridad tradicionales, que dependen de detectar firmas «conocidas maliciosas», los algoritmos de IA/ML se basan en identificar desviaciones de la comunicación «conocida buena».
Por lo tanto, el ataque funciona de la siguiente manera: los ciberdelincuentes elaboran correos electrónicos con dos partes distintas; una sección visible que incita al destinatario a hacer clic en un enlace o enviar información, y una porción oculta que contiene texto benigno destinado a engañar a los algoritmos de IA/ML al imitar la comunicación «conocida buena».
El objetivo es convencer a los controles de que el mensaje es un intercambio normal, con los atacantes apostando a que los humanos no se desplazarán por cuatro páginas en blanco hasta el final para ver la falsa conversación no relacionada destinada solo a los ojos de la IA/ML.
De esta manera, los atacantes pueden engañar a los sistemas para que categoricen todo el correo electrónico y cualquier respuesta posterior como seguro, permitiendo que el ataque llegue a las bandejas de entrada de los usuarios.
Una vez que estos ataques evaden las medidas de seguridad, los ciberdelincuentes pueden utilizar la misma conversación de correo electrónico para enviar mensajes con apariencia auténtica solicitando a los ejecutivos que vuelvan a autenticar contraseñas e inicios de sesión, facilitando el robo de credenciales.
Explotación de la detección de anomalías «Conocidas Buenas» en MLs Stephen Kowski, CTO de campo de SlashNext, señala que la aparición de ataques de «Desbordamiento de Conversación» subraya la capacidad de adaptación de los ciberdelincuentes para evadir medidas de seguridad avanzadas, especialmente en la era de la seguridad basada en IA.
«He visto este estilo de ataque solo una vez antes a principios de 2023, pero ahora lo veo más a menudo y en diferentes entornos», explica. «Cuando encuentro estos ataques, están dirigidos a la alta gerencia y a los ejecutivos».
Señala que el phishing es un negocio, por lo que los atacantes quieren ser eficientes con su propio tiempo y recursos, apuntando a cuentas con el mayor acceso o autoridad implícita posible.
Kowski dice que este vector de ataque debe considerarse más peligroso que el intento de phishing promedio porque explota puntos débiles en nuevas tecnologías altamente efectivas que las empresas podrían no conocer. Eso deja un vacío que los ciberdelincuentes pueden aprovechar antes de que los departamentos de TI se den cuenta.
«De hecho, estos atacantes están realizando sus propias pruebas de penetración en las organizaciones todo el tiempo para sus propios fines, para ver qué funcionará y qué no de manera confiable», dice. «Miren el enorme aumento en el phishing de códigos QR hace seis meses: encontraron un punto débil en muchas herramientas e intentaron explotarlo rápidamente en todas partes».
Y de hecho, el uso de códigos QR para entregar cargas maliciosas aumentó en el cuarto trimestre de 2023, especialmente contra ejecutivos, quienes vieron 42 veces más phishing de códigos QR que el empleado promedio.
La aparición de tales tácticas sugiere que se necesita vigilancia constante, y Kowski señala que ninguna tecnología es perfecta, y no hay una línea de meta.
«Cuando esta amenaza se comprenda y mitigue bien todo el tiempo, los actores maliciosos se centrarán en un método diferente», dice.
Kowski aconseja a los equipos de seguridad que respondan ejecutando activamente sus propias evaluaciones y pruebas con herramientas para encontrar «desconocidos desconocidos» en sus entornos.
«No pueden asumir que su proveedor o herramienta de elección, aunque efectiva en el momento en que la adquirieron, seguirá siendo efectiva con el tiempo», advierte. «Esperamos que los atacantes continúen siendo atacantes, innoven, cambien y cambien sus tácticas».
Ciberprisma - alianza por la ciberseguridad 