Los atacantes aprovechan la creciente 'tolerancia a los clics' para propagar malware
- Endpoint
Los investigadores de HP Wolf Security advierten del creciente uso de pruebas de verificación CAPTCHA falsas para engañar a los usuarios. Otras amenazas incluyen el uso de scripts de Python ofuscados para instalar malware, y malware que permite controlar las cámaras web y micrófonos de los usuarios.
En su conferencia anual Amplify, HP Inc. ha publicado el último informe HP Threat Insights, en el que se destaca el creciente uso de pruebas de verificación CAPTCHA falsas que permiten a los actores de amenazas engañar a los usuarios para que se infecten a sí mismos. Las campañas muestran que los atacantes están aprovechando la creciente familiaridad de las personas con completar múltiples pasos de autenticación en línea, una tendencia que HP llama "tolerancia a los clics".
A medida que los bots mejoran para eludir los CAPTCHA, la autenticación se ha vuelto más elaborada, lo que significa que los usuarios se han acostumbrado más a pasar por el aro para demostrar que son humanos. Los investigadores de amenazas de HP identificaron varias campañas en las que los atacantes crearon CAPTCHA maliciosos dirigidos a sitios controlados por atacantes y se les pidió a los usuarios que completaran una serie de desafíos de autenticación falsa. Las víctimas fueron engañadas para ejecutar un comando malicioso de PowerShell en su PC que finalmente instaló el troyano de acceso remoto (RAT) Lumma Stealer.
En una segunda campaña, los atacantes propagaron una RAT de código abierto, XenoRAT, con funciones de vigilancia avanzadas, como la captura de micrófono y cámara web. Utilizando técnicas de ingeniería social para convencer a los usuarios de que habiliten las macros en documentos de Word y Excel, los atacantes podrían controlar los dispositivos, exfiltrar datos y registrar las pulsaciones de teclas, lo que demuestra que Word y Excel siguen presentando un riesgo para la implementación de malware.
Otra campaña notable muestra cómo los atacantes están entregando código JavaScript malicioso dentro de imágenes de gráficos vectoriales escalables (SVG) para evadir la detección. Estas imágenes se abren de forma predeterminada en los navegadores web y ejecutan el código incrustado para desplegar siete cargas útiles, incluidas RAT y ladrones de información, lo que ofrece oportunidades de redundancia y monetización para el atacante. Como parte de la cadena de infección, los atacantes también utilizaron scripts de Python ofuscados para instalar el malware.
Patrick Schläpfer, investigador principal de amenazas en el HP Security Lab, comenta que "un denominador común de estas campañas es el uso de técnicas de ofuscación y antianálisis para ralentizar las investigaciones. Incluso las técnicas de evasión de defensa simples pero efectivas pueden retrasar la detección y la respuesta de los equipos de operaciones de seguridad, lo que dificulta la contención de una intrusión".
Nuevos métodos de ataque
El informe, que examina los datos del cuarto trimestre de 2024, detalla cómo los ciberdelincuentes continúan diversificando los métodos de ataque para eludir las herramientas de seguridad que dependen de la detección. Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click omitieron uno o más escáneres de puerta de enlace de correo electrónico. Los ejecutables fueron el tipo de entrega de malware más popular (43%), seguido de los archivos de almacenamiento (32%).
