Malware

Aumento de campañas a través de ficheros PDF maliciosos y exploits de Office

HP ha publicado su informe trimestral HP Wolf Security Threat Insights, que revela que los atacantes siguen encontrando formas innovadoras de influir en los usuarios e infectar los terminales. El equipo de investigación de amenazas de HP Wolf Security descubrió varias campañas destacables, incluyendo:

  • La campaña DarkGate utiliza herramientas publicitarias para perfeccionar los ataques: los archivos PDF adjuntos maliciosos, que se hacen pasar por mensajes de error de OneDrive, dirigen a los usuarios a contenidos patrocinados alojados en una conocida red publicitaria. Esto conduce al malware DarkGate.
    • Mediante el uso de servicios publicitarios, los potenciales atacantes pueden analizar qué reclamos generan una mayor tasa de clics e infectan al mayor número de usuarios, lo que les ayuda a perfeccionar las campañas para obtener el máximo impacto.
    • Los ciberdelincuentes pueden utilizar las herramientas CAPTCHA para evitar que los entornos aislados analicen el malware y detengan los ataques asegurándose de que sólo los humanos hagan clic.
    • DarkGate proporciona a los ciberdelincuentes una puerta trasera de acceso a las redes, exponiendo a las víctimas a riesgos como el robo de datos y el ransomware.
  • Cambio de macros a exploits de Office: en el cuarto trimestre, al menos el 84 % de los intentos de intrusión que afectaron a hojas de cálculo y el 73 % a documentos de Word, trataron de aprovechar vulnerabilidades de las aplicaciones de Office, con lo que continúa la tendencia a abandonar los ataques a Office con macros. No obstante, los ataques con macros siguen teniendo su lugar, especialmente en el caso de los ataques que aprovechan malware barato como Agent Tesla y XWorm adquiridos en lugares como la dark web.
  • El malware en PDF va en aumento: el 11 % del malware analizado en el cuarto trimestre utilizó PDF para distribuir malware, frente a solo el 4 % en el primer y segundo trimestre de 2023. Un ejemplo notable fue una campaña de WikiLoader que utilizaba un falso PDF de entrega de paquetes para engañar a los usuarios e instalar el malware Ursnif.
  • Discord y TextBin se utilizan para alojar archivos maliciosos: los ciberdelincuentes están utilizando sitios web legítimos de intercambio de archivos y texto para alojar archivos maliciosos. Las organizaciones suelen confiar en estos sitios, lo que les ayuda a evitar protecciones basadas en la detección, que no son capaces de escáneres este antimalware con un resultado positivo y aumenta las posibilidades de los atacantes de pasar desapercibidos.

Alex Holland, analista senior de malware del equipo de investigación de amenazas de HP Wolf Security, comenta: «Los ciberdelincuentes se están volviendo expertos en meterse en nuestras cabezas y entender cómo trabajamos. Por ejemplo, el diseño de los servicios en la nube más populares siempre se está perfeccionando, por lo que cuando aparece un mensaje de error falso, no necesariamente hace saltar las alarmas, aunque el usuario no lo haya visto antes. Con GenAI generando contenidos maliciosos aún más convincentes a un coste mínimo, distinguir lo real de lo falso sólo será más difícil«.

Al aislar las amenazas que han eludido las herramientas de detección en los PC, pero permitiendo que el malware se detone de forma segura, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes en el cambiante panorama de la ciberdelincuencia. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 40.000 millones de adjuntos de correo electrónico, páginas web y archivos descargados sin que se haya informado de ninguna brecha.

El informe detalla cómo los ciberdelincuentes siguen diversificando los métodos de ataque para eludir las políticas de seguridad y las herramientas de detección. Otras conclusiones son:

  • Los archivos fueron el tipo de distribución de malware más popular por séptimo trimestre consecutivo, utilizados en el 30 % del malware analizado por HP.
  • Al menos el 14 % de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico.
  • Los principales vectores de amenaza en el cuarto trimestre fueron el correo electrónico (75 %), las descargas desde navegadores (13 %) y otros medios como las memorias USB (12 %).

El Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP, explica: «Los ciberdelincuentes están aplicando las mismas herramientas que una empresa podría utilizar para gestionar una campaña de marketing para optimizar sus campañas de malware, aumentando la probabilidad de que el usuario muerda el anzuelo. Para protegerse de los infractores con los recursos adecuados, las organizaciones deben seguir los principios de confianza cero, aislando y conteniendo las actividades de riesgo como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces y descargas del navegador«.

HP Wolf Security ejecuta las tareas de riesgo en máquinas virtuales aisladas y reforzadas por hardware que se ejecutan en el endpoint para proteger a los usuarios, sin afectar a su productividad. También captura rastros detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden escapar a otras herramientas de seguridad y proporciona información única sobre las técnicas de intrusión y el comportamiento de los delincuentes.


Descubre más desde Revista Ciberseguridad

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Fuente independiente de noticias y análisis sobre la ciberseguridad, que cubre las últimas noticias y la investigación de ciberamenazas, malware, phishing, etc.

Noticias Relacionadas

1 of 55