La ciberdelincuencia vuelve a estar muy presente en el ámbito empresarial. Es lo que se desprende del último informe trimestral de HP, Threat Insights, en el que destaca una nueva oleada de ciberdelincuentes que propagan familias de malware -como QakBot, IceID, Emotet y RedLine Stealer- están recurriendo a los archivos con accesos directos o enlaces (los típicos “LNK”) para distribuir el malware.
Los accesos directos están sustituyendo a las macros de Office, que requieren demasiada intervención y superación de alertas de riesgo por parte del usuario; estos accesos directos son una forma de que los atacantes se introduzcan en las redes engañando a los usuarios para que infecten sus PCs. Este acceso puede utilizarse para robar datos valiosos de la empresa, o venderse a grupos de ransomware, lo que puede dar lugar a violaciones a gran escala que podrían paralizar las operaciones de la empresa y dar lugar a importantes costes de recuperación del negocio, datos y operaciones.
El último informe global, HP Wolf Security Threat Insights, muestra un aumento del 11% en los archivos comprimidos que contienen malware, incluidos los archivos tipo LNK. Los atacantes suelen colocar archivos de acceso directo en archivos adjuntos de correo electrónico ZIP, para ayudarles a evadir los escáneres de correo electrónico.
El equipo también detectó creadores de malware LNK disponibles para su compra en foros de hackers, lo que facilita que los ciberdelincuentes se decanten por esta técnica de ejecución de código «sin macros», creando archivos de acceso directo armados y difundiéndolos entre las empresas.
Bloqueo inmediato de archivos sospechosos
«A medida que las macros descargadas de la web se bloquean por defecto en Office, estamos atentos a los métodos de ejecución alternativos que están probando los ciberdelincuentes. Abrir un acceso directo o un archivo HTML puede parecer inofensivo para un empleado, pero puede suponer un gran riesgo para la empresa», explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP.
«Las empresas deben tomar medidas ahora para protegerse contra las técnicas cada vez más utilizadas por los atacantes o quedar expuestas a medida que se generalizan. Recomendamos bloquear inmediatamente los archivos de acceso directo recibidos como archivos adjuntos en el correo electrónico o descargados de la web siempre que sea posible».
Al aislar las amenazas los ordenadores que han evadido las herramientas de detección (impidiendo la infección en el dispositivo real). HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes.
- El envío de archivos HTML alcanza una magnitud crítica: HP identificó varias campañas de phishing que utilizaban correos electrónicos que se hacían pasar por servicios postales regionales o, como predijo HP, grandes eventos como la Expo 2023 de Doha (que atraerá a más de tres millones de asistentes en todo el mundo) que utilizaban el envío masivo de archivos HTML para distribuir malware.
- Los atacantes aprovechan la fisura creada por la vulnerabilidad de día cero Follina (CVE-2022-30190): Tras su divulgación, múltiples autores de amenazas explotaron la reciente vulnerabilidad de día cero en la herramienta de diagnóstico de soporte de Microsoft (MSDT) -apodada «Follina»- para distribuir QakBot, Agent Tesla y el Remcos RAT (troyano de acceso remoto) antes de que estuviera disponible un parche. La vulnerabilidad es especialmente peligrosa porque permite a los atacantes ejecutar código arbitrario para desplegar malware, y requiere poca interacción del usuario para explotarla en los dispositivos.
- Una nueva técnica de ejecución hace que el shellcode oculto en documentos se propague el malware SVCReady: HP ha descubierto una campaña que distribuye una nueva familia de malware llamada SVCReady, que destaca por la forma inusual en que se distribuye a los PCs: a través de shellcode oculto en las propiedades de los documentos de Office. El malware -diseñado principalmente para descargar cargas útiles de malware secundarias en los ordenadores infectados tras recopilar información del sistema y realizar capturas de pantalla- se encuentra todavía en una fase temprana de desarrollo, habiendo sido actualizado varias veces en los últimos meses.
