Crecen los ataques que emplean archivos y complementos de Excel para propagar malware

  • Endpoint

HP pronosticos seguridad

Se ha multiplicado por seis el número de atacantes que utiliza la función de complementos de Excel para infectar los sistemas, una técnica peligrosa ya que basta un clic para ejecutar el malware. Además, una campaña de spam de QakBot utilizó archivos de Excel para engañar a los usuarios.

Recomendados: 

Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer

Nuevas reglas de seguridad para aplicaciones web y API Leer

HP ha publicado su último informe global, HP Wolf Security Threat Insights, que proporciona un análisis de las últimas técnicas utilizadas por los ciberdelincuentes. Entre ellas, destaca la utilización de la función de complementos de Excel para propagar malware, ayudando a los delincuentes a obtener acceso a los objetivos y exponiendo a las empresas y a los usuarios a robos de datos y a destructivos ataques de ransomware.

Así, en comparación con el trimestre anterior, el número de atacantes que utiliza la función de complementos de Microsoft Excel (extensión .xll) para infectar los sistemas ha crecido un 588%. HP Wolf Security también encontró anuncios de kits de creación de malware basado en complementos de Excel y herramientas para su envío (conocidos como droppers) en mercados clandestinos, que facilitan a los hackers sin experiencia el lanzamiento de los ataques.

También se detectó una reciente campaña de spam de QakBot que utilizó archivos de Excel para engañar a los usuarios. La campaña consistía en utilizar cuentas de correo electrónico comprometidas para realizar ataques de tipo hijack (técnica que permite suplantar la identidad creando nuevos correos) utilizando un archivo de Excel (.xlsb) malicioso adjunto. Después de ser enviado por el sistema, QakBot se inyectaba en procesos legítimos de Windows para evitar su detección.

Archivos maliciosos de Excel (.xls) también fueron utilizados para propagar el troyano bancario Ursnif en empresas y organizaciones del sector público italiano a través de una campaña de spam malicioso, en la que los atacantes se hicieron pasar por el servicio de mensajería italiano BRT. Las nuevas campañas que propagan el malware Emotet, utilizan ahora también ficheros Excel en lugar de archivos JavaScript o Word.

"Abusar de las funciones legítimas del software para esconderse de las herramientas de detección es una táctica habitual de los ciberdelincuentes, al igual que utilizar tipos de archivos poco comunes que pueden superar las barreras de acceso al correo electrónico. Los equipos de seguridad no deben confiar únicamente en la detección y en la información que manejan para actualizar sus defensas", explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP Inc. “Por ejemplo, basándonos en el aumento de apariciones de archivos .xll maliciosos que estamos observando, recomendaría a los administradores de la red que configuren las puertas de enlace del correo electrónico para bloquear los archivos adjuntos .xll entrantes, que sólo permitan los complementos firmados por socios de confianza o que deshabiliten por completo los complementos de Excel “.

Otras conclusiones importantes del informe son que las amenazas utilizaron 136 extensiones de archivo diferentes en sus intentos de infectar a las organizaciones. El 77% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 13%. Los archivos adjuntos más utilizados para enviar programas maliciosos fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).

“Hoy en día, hackers principiantes o de bajo nivel pueden llevar a cabo ataques sigilosos y vender el acceso a grupos organizados de ransomware, lo que conduce a ataques a gran escala que podrían paralizar los sistemas de TI y las operaciones", comenta Carlos Manero, responsable de Servicios Digitales y Seguridad de HP España. "Las organizaciones deben centrarse en reducir la superficie de ataque y permitir una rápida recuperación en caso de compromiso. Esto significa seguir los principios de la confianza cero y aplicar una sólida gestión de la identidad, el mínimo privilegio y el aislamiento desde el nivel hardware”.