HP publicó hoy su Informe Trimestral de Inteligencia sobre Amenazas Cibernéticas, el cual revela que una ola de ciberdelincuentes, acostumbrados a esparcir familias de malware como QakBot, IceID, Emotet y RedLine Stealer, que ahora están cambiando a los archivos de acceso directo (LNK) para entregar software malicioso. Los archivos de acceso directo están reemplazando a las macros de Office —que se empiezan a bloquear de forma predeterminada — como una manera en la que los atacantes se introducen en las redes engañando a los usuarios para infectar sus PCs con malware. Este acceso puede utilizarse para robar datos valiosos de la empresa o venderlos a grupos de ransomware, lo cual lleva a brechas de seguridad a gran escala que podrían paralizar las operaciones comerciales y generar costos significativos para remediarlas.
El más reciente Informe de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security, que proporciona análisis de ciberataques en el mundo real, muestra un aumento del 11% en los archivos que contienen malware, como los archivos LNK. Por lo general, los atacantes colocan los archivos de acceso directo en archivos adjuntos ZIP dentro de correos electrónicos para ayudarlos a evadir los escáneres de correo electrónico. El equipo también detectó constructores de malware LNK disponibles a la venta en foros de piratería, que facilitan a los ciberdelincuentes el cambio a esta técnica de código de ejecución “sin macros” mediante la creación de archivos de acceso directo que se utilizan para el ataque difundiéndolos a las empresas.
“Tomando en cuenta que las macros descargadas de la web han sido bloqueadas de forma predeterminada en Office, estamos vigilando de cerca los métodos de ejecución alternativos que están siendo probados por los ciberdelincuentes. Abrir un acceso directo o archivo HTML puede parecer inofensivo para un empleado, pero también da como resultado un riesgo importante para la empresa”, así lo explica Alex Holland, analista senior de malware del equipo de investigación de amenazas de HP Wolf Security, de HP Inc. “Las organizaciones deben tomar medidas ahora para protegerse contra las técnicas cada vez más favorecidas por los atacantes, o quedar expuestos y vulnerables mientras se vuelven omnipresentes. Recomendamos bloquear inmediatamente los archivos de acceso directo recibidos como archivos adjuntos de correo electrónico o descargados de la web, siempre que sea posible”.
“Al aislar las amenazas que lograron evadir las herramientas de detección en las PCs, HP Wolf Security tiene conocimientos específicos sobre las técnicas más recientes utilizadas por los ciberdelincuentes. Además del aumento en el número de archivos de acceso directo LNK, el equipo de investigación de amenazas ha destacado la siguiente información en este trimestre”.
- El contrabando de HTML alcanza una masa crítica. HP identificó varias campañas de phishing que utilizan correos electrónicos que se hacen pasar por servicios postales regionales o —como lo predijo HP— por eventos importantes como la Expo 2023 en Doha, Catar (que atraerá a más de 3 millones de asistentes de todo el mundo), misma que los atacantes utilizaron para el contrabando de HTML y así entregar malware. Con el uso de esta técnica, los tipos de archivos peligrosos que, de otro modo, serían bloqueados por pasarelas de seguridad para la protección del correo electrónico, pueden introducirse en las organizaciones y provocar infecciones de software malicioso.
- Los atacantes explotan la ventana creada por la vulnerabilidad de día cero: Follina (CVE-2022-30190). Tras su divulgación, múltiples actores de amenazas explotaron la reciente vulnerabilidad de día cero en la herramienta de diagnóstico de soporte de Microsoft (MSDT) —denominada como “Follina”— para distribuir QakBot, Agent Tesla y el troyano de acceso remoto Remcos antes de que un parche estuviera disponible. La vulnerabilidad es particularmente peligrosa porque permite a los atacantes ejecutar un código arbitrario para implementar malware, y requiere poca interacción del usuario para explotar en las máquinas de destino.
- Una nueva técnica de ejecución hace que el shellcode oculto en los documentos propague el malware SVCReady. HP descubrió una campaña que distribuye una nueva familia de malware llamada SVCReady, la cual resalta por la forma inusual en que entrega el malware a las PCs de destino a través del shellcode oculto en las propiedades de los documentos de Office. Diseñado principalmente para descargar cargas útiles de malware secundarias en las computadoras infectadas después de recopilar información del sistema y tomar capturas de pantallas, este malware todavía se encuentra en una etapa temprana de desarrollo, ya que se actualizó varias veces en los meses recientes.
Los hallazgos se basan en los datos de millones de dispositivos endpoint que ejecutan HP Wolf Security, el cual realiza tareas riesgosas como la apertura de archivos adjuntos en correos electrónicos, descargando los archivos y haciendo clic en los enlaces dentro de máquinas microvirtuales aisladas (micro-VMs) para proteger a los usuarios mientras captura rastros detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden pasar por alto otras herramientas de seguridad y proporciona información única sobre nuevas técnicas de intrusión y el comportamiento de los actores de amenazas. A la fecha, los clientes de HP han hecho clic en más de 18 mil millones de archivos adjuntos en correos electrónicos, páginas web y archivos descargados sin reportar brechas de seguridad.
Otros hallazgos importantes que se incluyen en el informe:
- El 14% del malware de correo electrónico capturado por HP Wolf Security evadió al menos un escáner de la pasarela de seguridad para la protección del correo electrónico.
- Los actores de amenazas utilizaron 593 familias de malware distintas en sus intentos de infectar a las organizaciones, en comparación con las 545 del trimestre anterior.
- Las hojas de cálculo siguen siendo el principal tipo de archivo malicioso. El equipo de investigación observó un aumento del 11% en las amenazas de este tipo, lo que sugiere que los atacantes colocan buscan colocar más programas de malware en archivos comprimidos antes de enviarlos para evadir la detección.
- El 69% del malware detectado se entregó vía correo electrónico, mientras que las descargas web fueron responsables del 17%.
- Los señuelos de phishing más comunes fueron las transacciones comerciales como “Pedido”, “Pago”, “Compra”, “Solicitud” y “Factura”.
“Los atacantes están probando nuevos formatos de archivos maliciosos o exploits a un ritmo bastante rápido para eludir la detección, razón por la cual las organizaciones deben estar preparadas para lo inesperado. Esto significa adoptar un enfoque en la arquitectura de seguridad de los dispositivos de punto final; por ejemplo, mediante la contención de los vectores de ataque más comunes como el correo electrónico, los navegadores y las descargas, para que las amenazas queden aisladas, independientemente de si se pueden detectar”, comentó el Dr. Ian Pratt, jefe global de seguridad para sistemas personales de HP Inc. “Esto elimina la superficie de ataque para clases enteras de amenazas, al tiempo que brinda a la organización el tiempo necesario para coordinar los ciclos de parches de manera segura sin interrumpir los servicios”.