El despertar de los LNK: los ciberdelincuentes están cambiando de las macros a los archivos de acceso directo para acceder a las PCs empresariales
HP publicó su Informe Trimestral de Inteligencia sobre Amenazas Cibernéticas, el cual revela que una ola de ciberdelincuentes, acostumbrados a esparcir familias de malware como QakBot, IceID, Emotet y RedLine Stealer, que ahora están cambiando a los archivos de acceso directo (LNK) para entregar software malicioso. Los archivos de acceso directo están reemplazando a las macros de Office —que se empiezan a bloquear de forma predeterminada — como una manera en la que los atacantes se introducen en las redes engañando a los usuarios para infectar sus PCs con malware. Este acceso puede utilizarse para robar datos valiosos de la empresa o venderlos a grupos de ransomware, lo cual lleva a brechas de seguridad a gran escala que podrían paralizar las operaciones comerciales y generar costos significativos para remediarlas.
El más reciente Informe
de Inteligencia sobre Amenazas Cibernéticas de HP Wolf Security, que proporciona
análisis de ciberataques en el mundo real, muestra un aumento del 11% en los
archivos que contienen malware, como los archivos LNK. Por lo general, los
atacantes colocan los archivos de acceso directo en archivos adjuntos ZIP dentro
de correos electrónicos para ayudarlos a evadir los escáneres de correo
electrónico. El equipo también detectó constructores de malware LNK disponibles
a la venta en foros de piratería, que facilitan a los ciberdelincuentes el
cambio a esta técnica de código de ejecución “sin macros” mediante la creación
de archivos de acceso directo que se utilizan para el ataque difundiéndolos a
las empresas.
“Tomando en cuenta que las macros descargadas
de la web han sido bloqueadas de forma predeterminada en Office, estamos
vigilando de cerca los métodos de ejecución alternativos que están siendo
probados por los ciberdelincuentes. Abrir un acceso directo o archivo HTML
puede parecer inofensivo para un empleado, pero también da como resultado un
riesgo importante para la empresa”, así lo explica Alex Holland, analista
senior de malware del equipo de investigación de amenazas de HP Wolf Security, de
HP Inc. “Las organizaciones deben tomar medidas ahora para protegerse contra
las técnicas cada vez más favorecidas por los atacantes, o quedar expuestos y
vulnerables mientras se vuelven omnipresentes. Recomendamos bloquear
inmediatamente los archivos de acceso directo recibidos como archivos adjuntos
de correo electrónico o descargados de la web, siempre que sea posible”.
“Al aislar las amenazas que lograron evadir las
herramientas de detección en las PCs, HP Wolf Security tiene conocimientos
específicos sobre las técnicas más recientes utilizadas por los
ciberdelincuentes. Además del aumento en el número de archivos de acceso
directo LNK, el equipo de investigación de amenazas ha destacado la siguiente
información en este trimestre”.
El contrabando de HTML alcanza una masa crítica.
HP identificó varias campañas de phishing que utilizan correos electrónicos que
se hacen pasar por servicios postales regionales o —como
lo predijo HP— por eventos importantes como la Expo 2023 en Doha, Catar
(que atraerá a más de 3 millones de asistentes de todo el mundo), misma que los
atacantes utilizaron para el contrabando de HTML y así entregar malware. Con el
uso de esta técnica, los tipos de archivos peligrosos que, de otro modo, serían
bloqueados por pasarelas de seguridad para la protección del correo electrónico,
pueden introducirse en las organizaciones y provocar infecciones de software
malicioso.
Una nueva técnica de ejecución hace que el
shellcode oculto en los documentos propague el malware SVCReady. HP descubrió
una campaña que distribuye una nueva familia de malware llamada SVCReady, la
cual resalta por la forma inusual en que entrega el malware a las PCs de destino
a través del shellcode oculto en las propiedades de los documentos de Office. Diseñado
principalmente para descargar cargas útiles de malware secundarias en las
computadoras infectadas después de recopilar información del sistema y tomar
capturas de pantallas, este malware todavía se encuentra en una etapa temprana
de desarrollo, ya que se actualizó varias veces en los meses recientes.
Los hallazgos se basan en los datos de millones
de dispositivos endpoint que ejecutan HP Wolf Security, el cual realiza tareas riesgosas
como la apertura de archivos adjuntos en correos electrónicos, descargando los
archivos y haciendo clic en los enlaces dentro de máquinas microvirtuales
aisladas (micro-VMs) para proteger a los usuarios mientras captura rastros
detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones
de HP mitiga las amenazas que pueden pasar por alto otras herramientas de
seguridad y proporciona información única sobre nuevas técnicas de intrusión y el
comportamiento de los actores de amenazas. A la fecha, los clientes de HP han hecho
clic en más de 18 mil millones de archivos adjuntos en correos electrónicos,
páginas web y archivos descargados sin reportar brechas de seguridad.
Otros hallazgos importantes que se incluyen en
el informe:
El 14% del malware de correo electrónico
capturado por HP Wolf Security evadió al menos un escáner de la pasarela de
seguridad para la protección del correo electrónico.
Los actores de amenazas utilizaron 593 familias
de malware distintas en sus intentos de infectar a las organizaciones, en
comparación con las 545 del trimestre anterior.
Las hojas de cálculo siguen siendo el principal
tipo de archivo malicioso. El equipo de investigación observó un aumento del
11% en las amenazas de este tipo, lo que sugiere que los atacantes colocan buscan
colocar más programas de malware en archivos comprimidos antes de enviarlos
para evadir la detección.
El 69% del malware detectado se entregó vía
correo electrónico, mientras que las descargas web fueron responsables del 17%.
Los señuelos de phishing más comunes fueron las
transacciones comerciales como “Pedido”, “Pago”, “Compra”, “Solicitud” y
“Factura”.
“Los atacantes están probando nuevos formatos
de archivos maliciosos o exploits a un ritmo bastante rápido para eludir la
detección, razón por la cual las organizaciones deben estar preparadas para lo
inesperado. Esto significa adoptar un enfoque en la arquitectura de seguridad
de los dispositivos de punto final; por ejemplo, mediante la contención de los
vectores de ataque más comunes como el correo electrónico, los navegadores y
las descargas, para que las amenazas queden aisladas, independientemente de si se
pueden detectar”, comentó el Dr. Ian Pratt, jefe global de seguridad para
sistemas personales de HP Inc. “Esto elimina la superficie de ataque para
clases enteras de amenazas, al tiempo que brinda a la organización el tiempo
necesario para coordinar los ciclos de parches de manera segura sin interrumpir
los servicios”.