Tres de cada 10 muestras de malware detectadas eran previamente desconocidas

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

HP Inc. ha publicado su Informe Trimestral de Perspectivas de Amenazas, que encontró que el 29% del malware detectado era previamente desconocido, debido al uso generalizado de técnicas de ofuscación por parte de los atacantes que buscan evadir la detección. El 88% del malware fue entregado por correo electrónico a las bandejas de entrada de los usuarios, en muchos casos habiendo evitado los filtros de gateways; los señuelos más comunes son los archivos adjuntos de facturas falsas, mientras que las descargas web fueron responsables del 12% restante.

De acuerdo con el informe, los troyanos acapararon el 66% de las muestras de malware analizadas, impulsados en gran parte por campañas de spam malicioso que distribuyen malware Dridex, que ha aumentado en prevalencia en un 239%. El tipo más común de archivos adjuntos maliciosos fueron documentos (31%), archivos de archivo (28%), hojas de cálculo (19%) y archivos ejecutables (17%).

"Este informe pone de relieve las deficiencias en las defensas tradicionales que dependen de la detección para bloquear el malware", señala Ian Pratt, Jefe Global de Seguridad para Sistemas Personales de HP Inc. "Los atacantes han encontrado repetidamente nuevas formas de eludir las herramientas tradicionales basadas en la detección, por lo que es más importante que nunca que las organizaciones construyan principios de diseño de confianza cero en su arquitectura de seguridad".

El informe proporciona una visión única del comportamiento del malware en la naturaleza, ya que, a diferencia de otras herramientas de seguridad endpoint, que tienen como objetivo prevenir o intervenir en un ataque, HP Sure Click permite que el malware se ejecute, mientras captura una cadena de infección completa dentro de máquinas aisladas y micro-virtuales. Las amenazas aisladas por HP Sure Click incluyeron:

• Vulnerabilidades del navegador web que conducen a FickerStealer: Una campaña de malware que se basó en dominios fraudulentos de servicios de mensajería instantánea populares. Los visitantes fueron redirigidos a las páginas de destino de RigEK que intentaron explotar las vulnerabilidades del navegador web y los plugins para infectar los PCs de los visitantes con malware de robo información llamado FickerStealer.

• Los señuelos con temática de entrega tientan a los usuarios a dejar entrar a los RATs: Un nuevo generador de malware de Office llamado APOMacroSploit se utilizó para dirigirse a las víctimas en campañas de spam temáticas de entrega, facilitando que el troyano de acceso remoto BitRAT se implemente en sus ordenadores.

• El retorno de ZLoader: Se produjo un aumento en la actividad del troyano bancario ZLoader, utilizando una combinación de técnicas, incluyendo documentos de Word haciéndose pasar por facturas farmacéuticas que ejecutan macros maliciosas.

• Uso de DOSfuscation: El último estallido de actividad de Emotet antes de su derribo en enero de 2021 vio a sus operadores modificar el descargador utilizando técnicas de DOSfuscation para hacer su ofuscación más compleja. El descargador también generó un mensaje de error cuando se abrió, ayudando a evitar sospechas de los usuarios cuando los documentos maliciosos no se comportaron como se esperaba.

• Secuestro de hilos de correo electrónico de objetivos gubernamentales: HP Sure Click detuvo ataques de secuestro de hilos de correo electrónico contra organizaciones gubernamentales en Centroamérica, donde los datos de correo electrónico robados se utilizaron para crear señuelos de phishing convincentes para distribuir Emotet.