HP ha lanzado su último informe trimestral, HP Wolf Security Threat Insights, que revela que los ciberdelincuentes continúan desarrollando nuevas estrategias para influir en los usuarios e infectar dispositivos. Más allá de la tipología de los ataques y las ubicaciones de los mismos, lo más interesante es la reflexión del director global de Sistemas Personales de HP, Ian Pratt, afirmando que los hackers están empleando las mismas herramientas que utilizan las empresas para gestionar cualquier campaña de marketing.
Esta similitud en los modos operando aumenta las probabilidades que los usuarios caigan en la trampa y abran o descarguen un archivo malicioso. La recomendación del experto es que las empresas sigan los principios de confianza cero y que trasladen esta filosofía a sus equipos. Y es que el riesgo puede estar en cualquier parte: archivos adjuntos en el correo electrónico, enlaces o descargas en el navegador.
Todo esto complica la labor diaria en los negocios y también en las entidades de ciberseguridad. Alex Holland, analista senior de HP Wolf Security, afirma que los ciberdelincuentes se están volviendo muy expertos en entender cómo se trabaja en una organización. Además, apunta que la IA Generativa está permitiendo la generación de contenidos maliciosos muy convincentes a un precio muy asequible. «Distinguir lo real de lo falso será aún más difícil», concluye este experto.
Las grandes amenazas detectadas HP Wolf Security en los últimos meses: archivos PDF, Office…
Ya hablando de forma concreta sobre los ciberataques, esta división de HP ha identificado varias campañas que tienen que ver con plataformas y archivos comunes con los que se trabaja en el día a día en un ordenador. Se trata de archivos PDF, documentos Office o sites como Discord. Estos son los hallazgos encontrados en los últimos meses:
- La campaña DarkGate, que utiliza herramientas publicitarias para mejorar los ataques. Los archivos PDF adjuntos maliciosos, que se hacen pasar por mensajes de error de OneDrive, redirigen a los usuarios a contenido patrocinado alojado en una conocida red publicitaria, lo que resulta en la descarga del malware DarkGate. Al utilizar servicios publicitarios, los posibles atacantes pueden analizar qué reclamos generan más clics e infectan a más usuarios, lo que les permite perfeccionar las campañas para lograr un máximo impacto.
- Los ciberdelincuentes también pueden utilizar herramientas CAPTCHA para evitar que los entornos aislados analicen el malware y detengan los ataques, asegurándose de que solo los humanos hagan clic. DarkGate proporciona a los ciberdelincuentes una puerta trasera de acceso a las redes, exponiendo a las víctimas a riesgos como el robo de datos y el ransomware.
- La transición de macros a exploits de Office. En el cuarto trimestre, al menos el 84% de los intentos de intrusión en hojas de cálculo y el 73% en documentos de Word intentaron aprovechar vulnerabilidades en las aplicaciones de Office, lo que continúa la tendencia de abandonar los ataques con macros. Sin embargo, los ataques con macros siguen siendo relevantes, especialmente en casos que utilizan malware económico adquirido en lugares como la dark web, como Agent Tesla y XWorm.
- El aumento del malware en PDF. En el cuarto trimestre, el 11% del malware analizado utilizó archivos PDF para su distribución, en comparación con solo el 4% en el primer y segundo trimestre de 2023. Un ejemplo destacado fue una campaña de WikiLoader que utilizaba un falso PDF de entrega de paquetes para engañar a los usuarios e instalar el malware Ursnif.
- Además, los ciberdelincuentes están utilizando sitios web legítimos de intercambio de archivos y texto, como Discord y TextBin, para alojar archivos maliciosos. Esto les permite evitar las protecciones basadas en la detección y aumenta las posibilidades de pasar desapercibidos.
El informe también detalla cómo los ciberdelincuentes están diversificando sus métodos de ataque para eludir las políticas de seguridad y las herramientas de detección. Por ejemplo, los archivos fueron el tipo de distribución de malware más popular durante el cuarto trimestre, utilizados en el 30% del malware analizado por HP.
Al menos el 14% de las amenazas de correo electrónico identificadas por HP Sure Click lograron eludir uno o más escáneres de gateway de correo electrónico. Los principales vectores de amenaza en el cuarto trimestre fueron el correo electrónico (75%), las descargas desde navegadores (13%) y otros medios como las memorias USB (12%).