MADRID, 19 Sep. (CIBERPRO) –
Especialistas en ciberseguridad han advertido sobre nuevas tácticas de ‘phishing’ empleadas por grupos maliciosos que, con el fin de eludir herramientas de seguridad basadas en detección, incorporan ‘malware’ camuflado en archivos PDF altamente realistas, imágenes pixeladas o a través de archivos comprimidos IMG.
En un entorno delictivo en constante transformación, los cibercriminales siguen perfeccionando sus métodos tradicionales de engaño, como el ‘phishing’ o el ‘living off the land’ (LOTL), este último es una técnica de ‘hackeo’ que utiliza herramientas y funciones legítimas de los sistemas para realizar acciones maliciosas. Todo esto con el objetivo de eludir los sistemas de detección y comprometer los dispositivos de sus potenciales víctimas.
En particular, en sus estrategias actuales, los ciberdelincuentes utilizan «múltiples binarios inusuales» en una misma campaña, lo que complica aún más la identificación entre actividades maliciosas y legítimas, según se indica en el último Informe de Amenazas elaborado por los expertos en seguridad de HP.
Este informe, que abarca datos desde abril hasta junio de este año, revela técnicas que han sido recientemente identificadas en campañas de ciberataques, basándose en información recolectada de millones de ‘endpoints’ protegidos por el sistema HP Wolf Security, tal y como ha señalado la compañía en un comunicado.
‘REVERSE SHELL’ EN PDF FALSIFICADOS
En este contexto, una de las campañas de ‘phishing’ detectadas utiliza facturas falsas de Adobe Reader. En esta ola de engaños de ingeniería social, los atacantes intentaban introducir un ‘script’ conocido como ‘reverse shell’ en el dispositivo de las posibles víctimas, permitiendo así el control remoto del mismo.
Para confundir a los usuarios, este ‘script’ se incluía en una pequeña imagen SVG que aparentaba ser un archivo PDF de Adobe Acrobat Reader, incluso presentando una barra de carga falsa. De esta manera, al caer en la trampa y abrir el archivo, se activa automáticamente la cadena de infección.
Además, en estos casos analizados por el equipo de HP, los ciberdelincuentes limitaron la descarga del ‘script’ a regiones de habla alemana, con el fin de reducir la exposición y dificultar el análisis automático.
‘MALWARE’ OCULTO EN IMÁGENES PIXELADAS
Otro de los métodos destacados por HP es el de ocultar ‘malware’ en imágenes pixeladas, utilizando archivos de ayuda compilada HTML de Microsoft (CHM), logrando enmascarar código malicioso en los píxeles de las imágenes y disfrazándolas como documentos de proyecto.
De este modo, los investigadores han señalado que, en ciertos casos, los ciberdelincuentes lograron entregar una carga útil del troyano de acceso remoto XWorm, que se ejecutaba mediante una cadena de infección en etapas, utilizando múltiples técnicas LOTL.
Siguiendo esta línea, durante el ataque, también se recurrió a la interfaz PowerShell de Microsoft para ejecutar un archivo CMD que eliminaba evidencias después de su descarga y ejecución.
LUMA STEALER EN ARCHIVOS IMG
Finalmente, los expertos en ciberseguridad han señalado un método en el que los actores maliciosos lograban instalar el conocido ‘malware’ de robo de información Lumma Stealer a través de archivos IMG.
En esta variante de ataque, mediante los archivos comprimidos IMG, utilizaban técnicas de LOTL para eludir filtros de seguridad. Es importante destacar que, aunque la infraestructura principal de Lumma Stealer fue desmantelada en mayo de este año, las campañas continuaron extendiéndose hasta junio, ya que el grupo registraba nuevos dominios y ampliaba su infraestructura.
Con todo esto, desde HP han enfatizado que estos nuevos métodos evidencian las capacidades de creatividad y adaptabilidad de los ciberdelincuentes en la actualidad, ocultando código en imágenes, abusando de herramientas confiables del sistema y personalizando ataques según la región.
«Los atacantes no están reinventando la rueda, pero sí están perfeccionando sus técnicas», ha reflexionado el investigador principal de amenazas en HP Security Lab, Alex Holland, quien ha añadido que cada vez se observan más herramientas LOTL encadenadas y tipos de archivo poco obvios, como las imágenes, para evitar la detección.
«No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto. Es simple, rápido y suele pasar desapercibido por su bajo perfil», ha subrayado Holland.
PROTECCIÓN DE HP WOLF SECURITY
En este sentido, HP ha destacado la capacidad del sistema HP Wolf Security para aislar estas amenazas que eluden los mecanismos de detección convencionales en PCs, y posteriormente, eliminar el ‘malware’ en «contenedores seguros.» Según los datos compartidos, hasta la fecha, los clientes de este servicio de HP han clicado en más de 55.000 millones de archivos adjuntos de correo electrónico, páginas web y descargas sin reportar brechas de seguridad.
Por otro lado, el informe también refleja cómo los ciberdelincuentes siguen diversificando sus métodos de ataque para evadir herramientas basadas en detección.
Por ejemplo, el 13 por ciento de las amenazas por correo electrónico identificadas por HP Sure Click eludieron al menos un escáner de puerta de enlace. Asimismo, los archivos comprimidos fueron el tipo de entrega más común, con un 40 por ciento, seguidos de ejecutables y scripts (35 por ciento).
HP también ha indicado que los archivos ‘.rar’ representaron el 26 por ciento de los ataques. Esto sugiere que los atacantes están aprovechando la confianza en ‘softwares’ como WinRAR, según explicó la compañía.
En definitiva, desde HP han subrayado que buscan asegurar la protección de los usuarios mediante sus sistemas de seguridad, mientras intentan evitar interrumpir las actividades del usuario. «Es una decisión difícil: restringir demasiado y obstaculizar al usuario o dejar la puerta abierta y arriesgarse a que un atacante se infiltre«, ha reflexionado el jefe global de seguridad para sistemas personales en HP, Ian Pratt.
«Incluso los mejores sistemas de detección pueden fallar a veces; por eso, el enfoque de defensa en profundidad con contención e aislamiento es esencial para atrapar amenazas antes de que causen daño», ha concluido.
