Un estudio de HP Wolf Security descubre múltiples campañas en las que los atacantes aprovechan la creciente "tolerancia al clic" con cadenas de infección de varios pasos.
En su conferencia anual Amplify, HP Inc. publicó el último Informe HP Threat Insights, que destaca el creciente uso de pruebas de verificación CAPTCHA falsas que permiten a los cibercriminales engañar a los usuarios para que se infecten.
Las campañas muestran que los atacantes se están aprovechando de la creciente familiaridad de los usuarios con la autenticación en línea, una tendencia que HP denomina "tolerancia al clic".
Con el análisis de ciberataques reales, el Informe HP Threat Insights ayuda a las organizaciones a mantenerse al día con las últimas técnicas que utilizan los ciberdelincuentes para evadir la detección y vulnerar los equipos. Basándose en datos de millones de endpoints con HP Wolf Security, las campañas destacadas identificadas por los investigadores de amenazas de HP incluyen:
• CAPTCHA Me If You Can: A medida que los bots mejoran su capacidad para eludir los CAPTCHA, la autenticación se ha vuelto más compleja, lo que significa que los usuarios se han acostumbrado a pasar por el aro para demostrar que son humanos. Los investigadores de amenazas de HP identificaron múltiples campañas en las que los atacantes crearon CAPTCHA maliciosos. Los usuarios fueron redirigidos a sitios controlados por los atacantes y se les pidió que completaran una serie de desafíos de autenticación falsos. Las víctimas fueron engañadas para ejecutar un comando malicioso de PowerShell en su equipo que finalmente instaló el troyano de acceso remoto (RAT) Lumma Stealer.
• Atacantes capaces de acceder a las cámaras web y micrófonos de los usuarios finales para espiar a sus víctimas: En una segunda campaña, los atacantes difundieron un RAT de código abierto, XenoRAT, con funciones avanzadas de vigilancia, como la captura de micrófonos y cámaras web. Mediante técnicas de ingeniería social para convencer a los usuarios de que habilitaran macros en documentos de Word y Excel, los atacantes pudieron controlar dispositivos, extraer datos y registrar las pulsaciones de teclas, lo que demuestra que Word y Excel siguen representando un riesgo para la implementación de malware.
• Scripts de Python utilizados para el contrabando de SVG: Otra campaña destacada muestra cómo los atacantes distribuyen código JavaScript malicioso dentro de imágenes de gráficos vectoriales escalables (SVG) para evadir la detección. Estas imágenes se abren por defecto en los navegadores web y ejecutan el código incrustado para desplegar siete cargas útiles, incluyendo RAT y ladrones de información, lo que ofrece redundancia y oportunidades de monetización al atacante. Como parte de la cadena de infección, los atacantes también utilizaron scripts de Python ofuscados para instalar el malware. La popularidad de Python, impulsada aún más por el creciente interés en la IA y la ciencia de datos, lo convierte en un lenguaje cada vez más atractivo para los atacantes para desarrollar malware, ya que su intérprete está ampliamente instalado.
Patrick Schläpfer, Investigador Principal de Amenazas del Laboratorio de Seguridad de HP, comentó: «Un hilo conductor común en estas campañas es el uso de técnicas de ofuscación y antianálisis para ralentizar las investigaciones. Incluso las técnicas de evasión de defensa más sencillas pero eficaces pueden retrasar la detección y la respuesta de los equipos de operaciones de seguridad, lo que dificulta la contención de una intrusión. Mediante métodos como las llamadas directas al sistema, los atacantes dificultan que las herramientas de seguridad detecten actividad maliciosa, lo que les da más tiempo para operar sin ser detectados y comprometer los endpoints de las víctimas».
Al aislar las amenazas que han eludido las herramientas de detección en los PC, pero que aún permiten que el malware se detone de forma segura dentro de contenedores seguros, HP Wolf Security posee información específica sobre las técnicas más recientes utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 65 000 millones de archivos adjuntos de correo electrónico, páginas web y descargado archivos sin que se hayan reportado brechas de seguridad. El informe, que analiza datos del cuarto trimestre de 2024, detalla cómo los ciberdelincuentes siguen diversificando sus métodos de ataque para eludir las herramientas de seguridad basadas en la detección, como:
• Al menos el 11 % de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de puerta de enlace de correo electrónico.
• Los archivos ejecutables fueron el tipo de distribución de malware más popular (43 %), seguidos de los archivos comprimidos (32 %).
El Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP Inc., comentó: «La autenticación multipaso es ahora la norma, lo que aumenta nuestra tolerancia a los clics. El estudio muestra que los usuarios darán varios pasos a lo largo de una cadena de infección, lo que subraya las deficiencias de la formación en ciberconciencia. Las organizaciones se encuentran en una carrera armamentista contra los atacantes, una que la IA no hará más que acelerar. Para combatir amenazas cada vez más impredecibles, las organizaciones deben centrarse en reducir su superficie de ataque aislando las acciones de riesgo, como hacer clic en elementos que podrían perjudicarlas. De esta forma, no necesitan predecir el próximo ataque; ya están protegidas».
Fuente: The Recyler
