Los investigadores de
amenazas de HP detectaron que los atacantes están utilizando señuelos de
phishing relacionados con el cierre del año fiscal, descargas falsas de
aplicaciones de citas, herramientas fraudulentas para recuperar billeteras de
criptomonedas y archivos de audio falsificados para tomar control de las
computadoras de los usuarios.
Aspectos destacados del último Threat Insights Report de HP:
· Los atacantes están abusando de herramientas
legítimas de acceso remoto distribuidas mediante correos electrónicos de
phishing relacionados con el cierre fiscal y descargas desde sitios falsos de
citas para obtener control persistente de los dispositivos.
·
Herramientas falsas para recuperar billeteras de
criptomonedas se utilizan para robar credenciales y datos de billeteras. Los
scripts, llenos de emojis, sugieren un uso creciente de la programación
asistida por IA o “vibe coding” para desarrollar ataques.
·
Campañas ClickFix están disfrazando malware como
archivos de audio y utilizan captchas realistas y sitios web falsos para
engañar a los usuarios y hacer que ejecuten código malicioso.
HP Inc. (NYSE: HPQ) publicó hoy su más reciente Threat Insights Report, el cual muestra cómo los atacantes están utilizando
software confiable, malware disfrazado y señuelos cada vez más creíbles para
obtener acceso a los dispositivos de los usuarios. La investigación destaca un desafío creciente tanto para
usuarios como para defensores, ya que la actividad maliciosa es cada vez más
difícil de distinguir del comportamiento legítimo.
El informe analiza ciberataques reales para ayudar a las organizaciones a
mantenerse al día con las técnicas más recientes utilizadas por los
ciberdelincuentes para evadir la detección y comprometer computadoras en un
entorno de amenazas en constante evolución.
Basado en millones de endpoints protegidos por HP Wolf Security*, los investigadores identificaron las siguientes campañas destacadas:
Herramientas legítimas de acceso remoto utilizadas como puertas alternativas: Los ciberdelincuentes están aprovechando aplicaciones como LogMeIn y ScreenConnect para tomar control de dispositivos sin generar sospechas. Las campañas comenzaron utilizando correos de phishing relacionados con el cierre del año fiscal y descargas falsas de aplicaciones de escritorio —incluyendo sitios de citas falsos— para convencer a los usuarios de instalar herramientas legítimas de acceso remoto. Estas herramientas son controladas por los atacantes y les permiten mezclarse con la actividad normal de TI mientras obtienen control total sobre los dispositivos.
Ataques dirigidos a usuarios que intentan recuperar billeteras de criptomonedas perdidas: Los atacantes están distribuyendo falsas herramientas de recuperación de billeteras de criptomonedas bajo la promesa de ayudar a localizar fondos perdidos, cuando en realidad buscan robarlos. Estas herramientas suelen compartirse a través de plataformas de intercambio de código y sitios de descarga de medios. Los scripts, cargados de emojis, parecen haber sido desarrollados mediante “vibe coding” y son capaces de recopilar credenciales, datos de billeteras y del sistema antes de empaquetarlos en archivos comprimidos para su exfiltración.
Campañas ClickFix ocultan malware en archivos de “audio”: Los responsables de campañas recientes de ClickFix están disfrazando malware como archivos de audio para evitar la detección. Las víctimas son guiadas a través de captchas realistas en sitios web falsos cuidadosamente diseñados. Esto desencadena la ejecución de comandos maliciosos que activan cargas útiles ocultas en segundo plano.
Patrick Schläpfer, Principal Threat Researcher de HP Security Lab, comentó: “Lo que destaca en estas campañas es la facilidad con la que herramientas legítimas de acceso remoto se están convirtiendo en puntos de entrada para los atacantes. Al combinar software confiable con técnicas cuidadosamente diseñadas de ingeniería social, vinculadas a eventos como el cierre del año fiscal, resulta cada vez más difícil distinguir qué es confiable y qué no.”
Al aislar amenazas que lograron evadir las herramientas de detección
tradicionales —pero permitiendo que el malware se ejecute de forma segura
dentro de contenedores protegidos— HP Wolf Security obtiene visibilidad sobre
las técnicas más recientes utilizadas por los ciberdelincuentes.
Hasta la fecha, los clientes de HP Wolf Security han interactuado con más
de 60 mil millones de archivos adjuntos de correo electrónico, páginas web y
descargas sin que se haya reportado ninguna brecha de seguridad.
· Al menos el 11% de las amenazas por correo electrónico
identificadas por HP Sure Click lograron evadir uno o más escáneres de
seguridad de correo electrónico.
· Los archivos ejecutables fueron el método más común de
distribución de malware (39%), seguidos por archivos comprimidos (38%) y
documentos PDF (10%).
o
El malware
distribuido mediante PDFs aumentó 2%, utilizando señuelos como documentos
judiciales y notificaciones de bonos para generar urgencia y fomentar clics.
Alex Holland, Principal Threat
Researcher de HP Security Lab, señaló: “Estos ataques no parecen intrusiones;
parecen actividades cotidianas. Se mezclan con el trabajo habitual de TI y
evitan las señales de alerta tradicionalmente asociadas con el malware. Para
proteger el futuro del trabajo y reducir riesgos, las organizaciones deben
limitar privilegios innecesarios, controlar la instalación de software y aislar
actividades riesgosas como descargas y enlaces desconocidos. La detección por
sí sola no es suficiente cuando herramientas legítimas se convierten en puertas
traseras.”
Para conocer
el reporte complete visita Threat Research blog.
Preguntas frecuentes:
¿Cuál es el principal
hallazgo del último Threat Insights Report de HP?
Los ciberdelincuentes están abusando
cada vez más de herramientas legítimas de acceso remoto, descargas falsas y
tácticas de ingeniería social altamente convincentes para tomar control de las
computadoras de los usuarios, haciendo que la actividad maliciosa parezca
comportamiento normal.
¿Cómo están abusando
los atacantes de las herramientas legítimas de acceso remoto?
Utilizan aplicaciones confiables
como LogMeIn y ScreenConnect como puertas traseras hacia los dispositivos de
las víctimas. Los usuarios son convencidos de instalar estas herramientas
mediante correos de phishing relacionados con el cierre fiscal o descargas
falsas de aplicaciones, incluyendo sitios de citas fraudulentos.
¿Qué otras tácticas
identificaron los investigadores de HP?
Detectaron herramientas falsas para
recuperar billeteras de criptomonedas diseñadas para robar credenciales y
datos, además de campañas ClickFix donde el malware se disfraza como archivos
de audio y se distribuye mediante captchas realistas en sitios web falsos.
¿Por qué estos
ataques son difíciles de detectar?
Porque suelen parecer actividades
legítimas. Las herramientas de acceso remoto son ampliamente utilizadas por
equipos de TI, los captchas son familiares para los usuarios y los señuelos
relacionados con eventos como el cierre fiscal parecen oportunos y creíbles.
¿Qué pueden hacer las
organizaciones para reducir el riesgo?
HP recomienda reducir los
privilegios innecesarios de los usuarios, controlar qué software puede
instalarse y aislar actividades de riesgo, como descargas, enlaces desconocidos
y archivos adjuntos. Los hallazgos también demuestran por qué las organizaciones
no deben depender únicamente de las herramientas de detección, especialmente
cuando los atacantes utilizan software confiable y flujos de trabajo
aparentemente legítimos para obtener acceso a los dispositivos de los usuarios.
0 Comentarios