[31/01/2022] HP Inc. ha publicado su último informe global HP Wolf Security Threat Insights, que ofrece un análisis de los ataques de ciberseguridad en el mundo real. Según lo señalado, al aislar las amenazas que han evadido las herramientas de detección y han llegado a los puntos finales de los usuarios, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes.
"El equipo de investigación de amenazas de HP Wolf Security identificó una oleada de ataques que utilizan archivos complementarios de Excel para propagar el malware, lo que ayuda a los atacantes a acceder a los objetivos, y expone a las empresas y a los particulares al robo de datos y a los ataques destructivos de ransomware. En comparación con el trimestre anterior, se ha multiplicado por seis (+588%) el número de atacantes que utilizan archivos complementarios maliciosos de Microsoft Excel (.xll) para infectar los sistemas, una técnica especialmente peligrosa, ya que basta un solo clic para ejecutar el malware. El equipo también encontró anuncios de kits de creación de malware y dropper .xll en mercados clandestinos, lo que facilita a los atacantes sin experiencia el lanzamiento de campañas”, comentó Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP Inc.
Además, anotó el ejecutivo, una reciente campaña de spam de QakBot utilizó archivos de Excel para engañar a los objetivos, usando cuentas de correo electrónico comprometidas para secuestrar hilos de correo electrónico y responder con un archivo de Excel (.xlsb) malicioso adjunto. "Después de ser entregado a los sistemas, QakBot se inyecta en procesos legítimos de Windows para evadir la detección. Los archivos maliciosos de Excel (.xls) también se utilizaron para propagar el troyano bancario Ursnif a empresas y organizaciones del sector público de habla italiana a través de una campaña de spam malicioso, en la que los atacantes se hicieron pasar por el servicio de mensajería italiano BRT. Las nuevas campañas que propagan el malware Emotet utilizan ahora también archivos Excel en lugar de JavaScript o Word”.
Otras amenazas aisladas por el equipo de análisis de amenazas de HP Wolf Security incluyen:
- ¿El regreso de TA505? HP identificó una campaña de phishing por correo electrónico de MirrorBlast que compartía muchas tácticas, técnicas y procedimientos (TTP) con TA505, un grupo de amenazas con motivación financiera conocido por sus campañas masivas de spam de malware, y por monetizar el acceso a los sistemas infectados mediante ransomware. El ataque se dirigió a organizaciones con el troyano de acceso remoto (RAT) FlawedGrace.
- Falsa plataforma de juegos que infecta a las víctimas con RedLine: Se ha descubierto un sitio web falso de instalación de Discord, que engaña a los visitantes para que descarguen el infosistema RedLine y roben sus credenciales.
- El cambio de tipos de archivos poco comunes sigue eludiendo la detección: El grupo de amenazas Aggah se dirigió a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) disfrazados de órdenes de compra, infectando los sistemas con troyanos de acceso remoto. El malware de PowerPoint es inusual, ya que constituye el 1% del malware.
"Abusar de las funciones legítimas del software para ocultarse de las herramientas de detección es una táctica habitual de los atacantes, al igual que utilizar tipos de archivos poco comunes que pueden pasar por las pasarelas de correo electrónico. Los equipos de seguridad deben asegurarse de que no confían únicamente en la detección y de que se mantienen al día de las últimas amenazas y actualizan sus defensas en consecuencia. Por ejemplo, basándonos en el aumento de avistamientos de archivos maliciosos .xll que estamos viendo, yo instaría a los administradores de red a configurar las puertas de enlace del correo electrónico para bloquear los archivos adjuntos .xll entrantes, permitir únicamente los complementos firmados por socios de confianza o desactivar por completo los complementos de Excel", explicó Holland.
"Los atacantes están innovando continuamente para encontrar nuevas técnicas para evadir la detección, por lo que es vital que las empresas planifiquen y ajusten sus defensas en función del panorama de las amenazas y de las necesidades empresariales de sus usuarios. Los actores de las amenazas han invertido en técnicas como el secuestro de hilos de correo electrónico, haciendo más difícil que nunca que los usuarios distingan a los amigos de los enemigos", agregó el ejecutivo.
Otras conclusiones clave del informe son las siguientes:
- El 13% del malware de correo electrónico aislado había evitado al menos un escáner de puerta de enlace de correo electrónico.
- Las amenazas utilizaron 136 extensiones de archivo diferentes en sus intentos de infectar a las organizaciones.
- El 77% del malware detectado se distribuyó por correo electrónico, mientras que las descargas web fueron responsables del 13%.
- Los archivos adjuntos más utilizados para distribuir el malware fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
- Los señuelos de phishing más comunes estaban relacionados con el Año Nuevo o con transacciones comerciales como "Pedido", "2021/2022", "Pago", "Compra", "Solicitud" y "Factura".
CIO, Perú