El último informe “Threat Insights” de HP Security Lab, realizado en base a los millones de dispositivos protegidos por HP Wolf Security, avisa que la actividad maliciosa es más sofisticada porque combina software legítimos, malware camuflado y señuelos más convincentes, lo que dificulta distinguir el comportamiento legítimo del malicioso.
En cuanto al uso de herramientas legítimas de acceso remoto utilizadas como puertas traseras, HP ha detectado campañas que usan aplicaciones legítimas como LogMeIn y ScreenConnect para tomar el control de los dispositivos de las víctimas sin levantar sospechas. El ataque comenzaba con correos electrónicos de phishing relacionados con el cierre del ejercicio fiscal y descargas falsas de aplicaciones de escritorio, que instaban a los usuarios que instalaran estas herramientas legítimas de acceso remoto. Al instalarlas tomaban el control los atacantes.
Otra ataque consiste en la distribución de falsas herramientas de recuperación de carteras de criptomonedas que afirman ayudar a localizar fondos perdidos, pero cuyo verdadero objetivo es robarlos.
Los investigadores también han ocultado malware en archivos de audio. Los responsables de recientes campañas ClickFix están camuflando malware en archivos de audio para evitar su detección. Las víctimas son dirigidas a sitios web falsos cuidadosamente diseñados que muestran mensajes CAPTCHA aparentemente legítimos. Al interactuar con ellos se ejecutan comandos maliciosos que activan silenciosamente cargas maliciosas ocultas en segundo plano.
“Lo que más llama la atención de estas campañas es la facilidad con la que herramientas legítimas de acceso remoto pueden convertirse en puntos de entrada para los atacantes. Al combinar software de confianza con técnicas de ingeniería social cuidadosamente diseñadas —vinculadas a eventos como el cierre del ejercicio fiscal— cada vez resulta más difícil distinguir qué es fiable y qué no”, comentó Patrick Schläpfer, investigador principal de amenazas de HP Security Lab.
HP informa también que, hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 60.000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan notificado brechas de seguridad.
Entre enero y marzo de este año se detectó que al menos el 11 % de las amenazas de correo electrónico identificadas por HP Sure Click consiguieron evadir uno o más escáneres de pasarela de correo electrónico. Además, los archivos ejecutables fueron el método de distribución de malware más popular (39 %), seguidos de los archivos comprimidos (38 %) y los documentos PDF (10 %). Y el malware distribuido mediante documentos PDF aumentó un 2 %, utilizando señuelos de diversa índole como documentos judiciales o notificaciones de pagos de bonificaciones para generar sensación de urgencia e incentivar a la interacción de los usuarios.
“Para proteger el futuro del trabajo y reducir el riesgo, las organizaciones deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades de riesgo como descargas y enlaces desconocidos. La detección por sí sola ya no es suficiente cuando herramientas legítimas pueden convertirse en puertas traseras”, añadió Alex Holland, investigador principal de amenazas de HP Security Lab.
