Nuevo informe de HP Wolf Security revela nuevas técnicas de phishing dirigidas a empleados

HP Inc. publicó su informe trimestral Threat Insights Report que revela que una ola de ciberdelincuentes que propagan familias de malware, incluidos QakBot, IceID, Emotet y RedLine Stealer, están cambiando a atajos (LNK) para entregar malware.

Los accesos directos están reemplazando a las macros de Office, que comienzan a bloquearse de forma predeterminada en Office, como una forma para que los atacantes se establezcan en las redes al engañar a los usuarios para que infecten sus PC con malware. Este acceso puede usarse para robar datos valiosos de la empresa o venderse a grupos de ransomware, lo que genera infracciones a gran escala que podrían paralizar las operaciones comerciales y generar costos de reparación significativos.

El último informe mundial HP Wolf Security Threat Insights, que proporciona un análisis de los ciberataques del mundo real, muestra un aumento del 11 % en los archivos que contienen malware, incluidos los archivos LNK. Los atacantes a menudo colocan archivos de acceso directo en archivos adjuntos de correo electrónico ZIP, para ayudarlos a evadir los escáneres de correo electrónico. El equipo también detectó creadores de malware LNK disponibles para su compra en foros de piratas informáticos, lo que facilita que los ciberdelincuentes cambien a esta técnica de ejecución de código "sin macros" al crear archivos de acceso directo armados y distribuirlos a las empresas.

“A medida que las macros descargadas de la web se bloquean de forma predeterminada en Office, seguimos de cerca los métodos de ejecución alternativos que están probando los ciberdelincuentes. Abrir un acceso directo o un archivo HTML puede parecer inofensivo para un empleado, pero puede resultar en un gran riesgo para la empresa”, explica Alex Holland, analista sénior de malware, equipo de investigación de amenazas de HP Wolf Security, HP Inc. “Las organizaciones deben tomar medidas ahora para proteger contra técnicas cada vez más favorecidas por los atacantes o quedan expuestos a medida que se vuelven omnipresentes. Recomendamos bloquear de inmediato los archivos de acceso directo recibidos como archivos adjuntos de correo electrónico o descargados de la web siempre que sea posible”.

Al aislar las amenazas en las PC que han evadido las herramientas de detección, HP Wolf Security tiene una visión específica de las técnicas más recientes que utilizan los ciberdelincuentes. Además del aumento en los archivos LNK, el equipo de investigación de amenazas destacó las siguientes ideas este trimestre:

* El contrabando de HTML alcanza una masa crítica: HP identificó varias campañas de phishing que usaban correos electrónicos que se hacían pasar por servicios postales regionales o, como predijo HP, eventos importantes como Doha Expo 2023 (que atraerá a más de 3 millones de asistentes globales) que usaban el contrabando de HTML para entregar malware. Con esta técnica, los tipos de archivos peligrosos que de otro modo estarían bloqueados por las puertas de enlace de correo electrónico pueden pasar de contrabando a las organizaciones y provocar infecciones de malware.

* Los atacantes explotan la ventana de vulnerabilidad creada por la vulnerabilidad de día cero de Follina (CVE-2022-30190): luego de su divulgación, varios actores de amenazas explotaron la vulnerabilidad de día cero reciente en la herramienta de diagnóstico de soporte de Microsoft (MSDT), denominada "Follina". – distribuir QakBot, Agent Tesla y Remcos RAT (troyano de acceso remoto) antes de que estuviera disponible un parche. La vulnerabilidad es particularmente peligrosa porque permite a los atacantes ejecutar código arbitrario para implementar malware y requiere poca interacción del usuario para explotar en las máquinas de destino.

* La técnica de ejecución novedosa hace que el código de shell oculto en los documentos difunda el malware SVCReady: HP descubrió una campaña que distribuye una nueva familia de malware llamada SVCReady, notable por la forma inusual en que se entrega a las PC de destino, a través del código de shell oculto en las propiedades de los documentos de Office. El malware, diseñado principalmente para descargar cargas secundarias de malware en las computadoras infectadas después de recopilar información del sistema y tomar capturas de pantalla, aún se encuentra en una etapa temprana de desarrollo y se actualizó varias veces en los últimos meses.

Los hallazgos se basan en datos de millones de terminales que ejecutan HP Wolf Security. HP Wolf Security ejecuta tareas riesgosas como abrir archivos adjuntos de correo electrónico, descargar archivos y hacer clic en enlaces en micromáquinas virtuales aisladas (micro-VM) para proteger a los usuarios, capturando rastros detallados de intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden pasar desapercibidas para otras herramientas de seguridad y brinda información única sobre las nuevas técnicas de intrusión y el comportamiento de los actores de amenazas. Hasta la fecha, los clientes de HP han hecho clic en más de 18 000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan informado infracciones.

Otros hallazgos clave en el informe incluyen:

* El 14 % del malware de correo electrónico capturado por HP Wolf Security pasó por alto, al menos un escáner de puerta de enlace de correo electrónico.

* Los actores de amenazas utilizaron 593 familias de malware diferentes en sus intentos de infectar organizaciones, en comparación con las 545 del trimestre anterior.

* Las hojas de cálculo siguieron siendo el principal tipo de archivo malicioso, pero el equipo de investigación de amenazas observó un aumento del 11 % en las amenazas de archivo, lo que sugiere que los atacantes colocan cada vez más archivos en archivos de almacenamiento antes de enviarlos para evadir la detección.

* El 69 % del malware detectado se entregó por correo electrónico, mientras que las descargas web fueron responsables del 17 %.

* Los señuelos de phishing más comunes fueron transacciones comerciales como "Pedido", "Pago", "Compra", "Solicitud" y "Factura".

“Los atacantes están probando nuevos formatos de archivos maliciosos o explotan a ritmo para eludir la detección, por lo que las organizaciones deben prepararse para lo inesperado. Esto significa adoptar un enfoque arquitectónico para la seguridad de los endpoints, por ejemplo, al contener los vectores de ataque más comunes, como correo electrónico, navegadores y descargas, de modo que las amenazas se aíslen independientemente de si se pueden detectar o no”, comenta el Dr. Ian Pratt, director global de seguridad. Para Personal Systems, HP Inc. “Esto eliminará la superficie de ataque para clases completas de amenazas, al tiempo que le dará a la organización el tiempo necesario para coordinar los ciclos de parches de forma segura sin interrumpir los servicios”.