Los atacantes diversifican sus técnicas para vulnerar dispositivos y robar datos
- Endpoint
El bloqueo de macros por defecto está obligando a los agentes de amenazas a pensar de forma diferente, lo que ha disparado las estafas de escaneado de códigos QR y el aumento de los archivos PDF adjuntos maliciosos. El 42% del malware se introdujo en archivos comprimidos.
Desde que Microsoft comenzase a bloquear las macros en los archivos de Office de forma predeterminada, dificultando a los atacantes la ejecución de código dañino, estos han diversificado sus técnicas para encontrar nuevas formas de vulnerar dispositivos y robar datos. Así lo indica el informe trimestral HP Wolf Security Threat Insights, que revela que los hackers han buscado nuevos métodos de ataque, incluyendo un aumento de las campañas de phishing mediante códigos QR.
“Aunque las técnicas evolucionan, las amenazas siguen recurriendo a la ingeniería social para atacar a los usuarios en el endpoint", comenta Ian Pratt, responsable mundial de seguridad de sistemas personales de HP. "Las organizaciones deben desplegar un fuerte aislamiento para contener los vectores de ataque más comunes, como el correo electrónico, la navegación web y las descargas".
Basándose en los datos de millones de endpoints que ejecutan HP Wolf Security, la investigación ha descubierto un aumento de las "estafas de escaneado" de códigos QR, con campañas casi diarias. Estas estafas engañan a los usuarios para que escaneen los códigos desde sus ordenadores utilizando sus dispositivos móviles, potencialmente para aprovecharse de la menor protección y detección del phishing en dichos dispositivos.
Los códigos QR dirigen a los usuarios a sitios web maliciosos en los que se les piden datos de tarjetas de crédito y débito. Entre los ejemplos ocurridos en el cuarto trimestre se incluyen campañas de phishing que se hacen pasar por empresas de paquetería para solicitar el pago.
HP también ha observado un aumento del 38% en los archivos PDF adjuntos maliciosos. Los ataques recientes utilizan imágenes incrustadas que enlazan con archivos ZIP maliciosos cifrados, eludiendo los escáneres de pasarela web. Las instrucciones del PDF contienen una contraseña y se engaña al usuario para que la introduzca y descomprima un archivo ZIP, desplegando el malware QakBot o IcedID para obtener acceso no autorizado a los sistemas, que se utilizan como primera línea para desplegar ransomware.
Por otro lado, la popularidad de los archivos comprimidos ha aumentado un 20% desde el primer trimestre de 2022, a medida que las amenazas cambian a ficheros de scripts para ejecutar sus ataques. El 42% del malware se introdujo en archivos comprimidos como ZIP, RAR e IMG, mientras que el 38% del malware es distribuido a través de archivos de Office como Microsoft Word, Excel y PowerPoint.
"Hemos visto a distribuidores de malware como Emotet intentar eludir la política de macros más estricta de Office con complejas tácticas de ingeniería social, que creemos están resultando menos eficaces. Pero cuando una puerta se cierra, otra se abre, como demuestra el aumento de las estafas de escaneado, la publicidad maliciosa, los archivos y el malware de PDF", explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP. "Los usuarios deben estar atentos a los correos electrónicos y sitios web que piden escanear códigos QR y entregar datos sensibles, así como a los archivos PDF que enlazan con archivos protegidos por contraseña".
En el cuarto trimestre, HP también descubrió 24 proyectos de software conocidos imitados en campañas de publicidad maliciosas utilizadas para infectar PC con ocho familias de malware, frente a sólo dos campañas similares registradas el año anterior. Los ataques se basan en que los usuarios hagan clic en anuncios de motores de búsqueda, que conducen a sitios web maliciosos de aspecto casi idéntico a los sitios web reales.
