Una campaña de malware busca víctimas entre los usuarios que piratean películas o videojuegos
- Actualidad
El último informe de amenazas de la unidad de seguridad de HP advierte de que una campaña del malware ChromeLoader castiga a los usuarios que descargan películas o videojuegos populares de sitios web piratas. Además, revela que los atacantes están ocultando programas maliciosos en documentos de OneNote y que las amenazas utilizan dominios de confianza para eludir los controles de macros de Office.
La unidad de ciberseguridad destaca tres hallazgos. El primero es un campaña que se está llevando a cabo a través del navegador Chrome que tiene como objetivo a los usuarios que intentan descargar películas o videojuegos populares de sitios web piratas. En concreto, el malware ChromeLoader engaña a los usuarios para que instalen una extensión maliciosa de Chrome llamada Shampoo, que puede redirigir las consultas de búsqueda de la víctima a sitios web maliciosos, o a páginas que harán ganar dinero al grupo criminal a través de campañas publicitarias. El malware es muy persistente y utiliza el programador de tareas para reiniciarse cada 50 minutos.
El segundo es que los atacantes eluden las políticas de macros utilizando dominios de confianza. En este punto, aunque las macros de fuentes no confiables ahora están deshabilitadas, HP detectó como algunos intentos de ataque trababan de eludir estos controles comprometiendo una cuenta fiable de Office 365, configurando un nuevo correo electrónico de la compañía y distribuyendo un archivo de Excel malicioso que infecta a las víctimas con el infostealer Formbook.
Y, por último, el tercero es que los documentos de OneNote pueden actuar como álbumes de recortes digitales, por lo que cualquier archivo puede adjuntarse dentro. Los atacantes se aprovechan de ello para incrustar archivos maliciosos detrás de falsos iconos de "haga clic aquí". Al pinchar en el icono falso, se abre el archivo oculto y se ejecuta el malware que da a los atacantes acceso al dispositivo del usuario, acceso que luego pueden vender a otros grupos de ciberdelincuentes y bandas de ransomware.
Grupos sofisticados como Qakbot e IcedID introdujeron por primera vez malware en archivos de OneNote en enero. Ahora que los kits de OneNote están disponibles en los mercados de la ciberdelincuencia y que su uso requiere pocos conocimientos técnicos, parece que sus campañas de malware continuarán en los próximos meses, por lo que las empresas deben tomar medidas.
Diversificación de los métodos de ataque
Desde archivos comprimidos maliciosos hasta el contrabando de HTML (HTML smuggling), el informe también muestra que los grupos de ciberdelincuentes siguen diversificando los métodos de ataque para eludir las puertas de enlace del correo electrónico, a medida que los actores de las amenazas se alejan de los formatos de Office. Las principales conclusiones son:
• Los archivos fueron el tipo de entrega de malware más popular (42 %) por cuarto trimestre consecutivo al examinar las amenazas detenidas por HP Wolf Security en el primer trimestre.
• Las amenazas de contrabando de HTML aumentaron un 37 % en el primer trimestre frente al cuarto.
• Las amenazas de PDF aumentaron 4 puntos en el primer trimestre frente al cuarto.
• Se produjo un descenso de 6 puntos en el malware de Excel (del 19 % al 13 %) en el primer trimestre frente al cuarto, ya que el formato se ha vuelto más difícil para ejecutar macros.
• El 14% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico en el primer trimestre de 2023.
• El principal vector de amenazas en el primer trimestre fue el correo electrónico (80 %), seguido de las descargas del navegador (13 %).
HP recomienda a las organizaciones seguir los principios de confianza cero para aislar y contener actividades de riesgo como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces o descargas del navegador.
