Un grupo de ciberdelincuentes aprovecha la popularidad de herramientas de IA para distribuir malware que roba cookies, wallets de criptomonedas y credenciales. Las páginas de phishing se promocionan como anuncios patrocinados en Google.
Un grupo de ciberdelincuentes identificado por ThreatBook está ejecutando una campaña de distribución de malware que aprovecha la creciente popularidad de herramientas de inteligencia artificial como OpenClaw, Claude y NotebookLM.
Los atacantes despliegan páginas de phishing promocionadas a través de Google Ads, donde aparecen como resultados patrocinados cuando los usuarios buscan instaladores de estas aplicaciones. Una vez que las víctimas ejecutan los comandos de instalación falsos, el malware despliega una cadena de infección con múltiples capas de ofuscación diseñada para evadir soluciones de seguridad tradicionales.
La campaña combina varias técnicas de ingeniería social que demuestran un nivel de sofisticación considerable. Los atacantes no solo crean páginas de phishing que imitan documentación oficial de herramientas de IA, sino que también publican tutoriales técnicos falsos sobre limpieza de disco en macOS y manipulan conversaciones compartidas de modelos de lenguaje como Kimi para incluir comandos maliciosos.
Según el análisis de ThreatBook, el grupo ha subido además "Skills" maliciosos a plataformas como Clawhub y SkillsMP, que son invocados automáticamente por OpenClaw cuando los usuarios los instalan, ejecutando código arbitrario sin interacción adicional.
En Windows, el malware emplea técnicas de ataque "fileless" particularmente evasivas. El comando inicial invoca mshta.exe para cargar un archivo HTA remoto que contiene múltiples definiciones de funciones de decodificación. El payload atraviesa cuatro capas de desencriptación y descompresión completamente en memoria, sin que ningún archivo toque el disco. El shellcode final carga un ejecutable de control remoto compilado el 25 de febrero de 2026 que utiliza llamadas al sistema NT para evadir los hooks de EDR. El malware establece conexión con servidores C2 en las direcciones 144.124.235.102:443 y 45.94.47.204:80.
La carga maliciosa tiene capacidad de robo extensiva. En sistemas comprometidos, exfiltra cookies de navegadores, información de autocompletado, credenciales guardadas, datos de extensiones específicas de navegador, contraseñas de inicio de sesión local, wallets de criptomonedas, configuraciones de software de comunicaciones, notas, documentos sensibles y variables de entorno del sistema.
Palo Alto Networks Unit 42 ha documentado que la inyección indirecta de prompts representa una superficie de ataque emergente que va más allá del robo de datos, incluyendo manipulación de SEO, evasión de sistemas de revisión de anuncios con IA y hasta destrucción de datos.
El ecosistema de agentes de IA autónomos amplifica el riesgo significativamente. Investigadores de Invaders han demostrado que OpenClaw puede ser manipulado para generar URLs controladas por atacantes que, cuando se previsualizan en aplicaciones de mensajería como Telegram o Discord, transmiten datos sensibles automáticamente sin necesidad de que el usuario haga clic. El gobierno chino ya ha prohibido el uso de OpenClaw en computadoras de empresas estatales y agencias gubernamentales, según reportes recientes.
Las organizaciones deben implementar controles estrictos, verificar la autenticidad de los orígenes de descarga de herramientas de IA, bloquear la ejecución de comandos desde fuentes no verificadas y desplegar soluciones EDR con capacidad de detección en memoria. Los IOC de esta campaña están siendo actualizados constantemente por el grupo atacante, lo que requiere vigilancia continua de los indicadores de compromiso publicados por ThreatBook.
FUENTE ORIGINAL
ThreatBook↗CURADO POR
Alejandro Vargas