Investigadores de HP han identificado nuevas campañas maliciosas en las que ciberdelincuentes consiguen convertir herramientas legítimas de acceso remoto como LogMeIn o ScreenConnect en puertas traseras para controlar los dispositivos de forma silenciosa, entre otros métodos de 'malware' camuflado y señuelos convincentes.
La compañía ha compartido su último informe Threat Insights, que pone de manifiesto cómo continúan creciendo los desafíos tanto para los usuarios como para los equipos de seguridad de las empresas en materia de ciberseguridad, principalmente porque las actividades maliciosas son "cada vez más difíciles de distinguir del comportamiento legítimo".
Concretamente, el informe de la tecnológica recoge algunas de las técnicas más recientes que utilizan los ciberdelincuentes para evadir la detección y comprometer los equipos, basándose en datos de millones de dispositivos protegidos por su solución HP Wolf Security.
Entre las técnicas identificadas, HP ha detectado campañas que se basan en convertir herramientas legítimas de acceso remoto en puertas traseras. Es el caso de aplicaciones como LogMeIn y ScreenConnect, con las que los actores maliciosos logran controlar por completo los dispositivos de las víctimas "sin levantar sospechas".
Tal y como ha explicado HP en un comunicado, estas campañas se iniciaban mediante 'phishing' a través de correos electrónicos, que utilizaban como gancho temas relacionados con el cierre del ejercicio fiscal y en los que incluían descargas falsas de aplicaciones de escritorio. Entre estas descargas, aparecían páginas fraudulentas que persuadían a los usuarios para instalar herramientas legítimas de acceso remoto como las mencionadas.
Sin embargo, una vez instaladas estas herramientas, los atacantes ya disponían del control del dispositivo, pudiendo integrarse en la actividad habitual de TI y en el sistema.
ENGAÑOS PARA RECUPERAR CARTERAS DE CRIPTOMONEDAS
Otro de los métodos de ataque malicioso que ha compartido HP es distribuir herramientas falsas de recuperación de carteras de criptomonedas, que afirman ayudar a localizar fondos perdidos, pero que realmente sirven para robarlos.
Los investigadores han matizado que estos programas maliciosos se comparten habitualmente a través de plataformas de intercambio de código y sitios de descarga de contenidos. Asimismo, contienen 'scrpits' de robo de información "repletos de emojis" que se pueden haber desarrollado mediante técnicas de 'vive coding'.
Como resultado, los ciberdelincuentes son capaces de recopilar credenciales, datos de carteras e información del sistema "antes de empaquetarlos en archivos comprimidos para su exfiltración", como ha apuntado HP.
CAMPAÑAS DE CLICKFIX QUE OCULTAN 'MALWARE' EN AUDIO
Finalmente, el informe también hace referencia a otras campañas en las que los actores maliciosos emplean técnicas de ingeniería social de tipo ClickFix para lograr que instalen 'malware' en sus equipos sin ser conscientes.
En este caso, los ciberdelincuentes disfrazaban 'malware' como archivos de audio para evitar su detección. Así, las víctimas que tratan de descargar estos archivos, son redirigidas a sitios web falsos diseñados "cuidadosamente" que muestran mensajes CAPTCHA "aparentemente legítimo".
Sin embargo, al interactuar con el CAPTCHA, los usuarios desbloqueaban la ejecución de comandos maliciosos que activaban silenciosamente cargas maliciosas "ocultas en segundo plano".
Como ha valorado al respecto el investigador principal de amenazas de HP Security Lab, Patrick Schläpfer, lo que más llama la atención de estas campañas es "la facilidad con la que herramientas legítimas pueden convertirse en puntos de entrada para los atacantes".
"Al combinar software de confianza con técnicas de ingeniería social cuidadosamente diseñadas cada vez resulta más difícil distinguir qué es fiable y qué no", ha apostillado.
LOS CIBERDELINCUENTES SIGUEN DIVERSIFICANDO SUS MÉTODOS
Para evaluar estas campañas, el equipo de HP Wolf Security ha aislado las amenazas que han eludido las herramientas de detección en los ordenadores personales, permitiendo que el 'malware' se active de forma segura dentro de contenedores protegidos.
Así, hasta ahora, han recopilado que los clientes de este servicio de HP han hecho clic en más de 60.000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados "sin que se hayan notificado brechas de seguridad".
Con estos datos, recopilados entre enero y marzo de este año, el informe deja ver cómo los ciberdelincuentes siguen diversificando sus métodos de ataque para eludir las herramientas de seguridad. Tanto es así que, al menos el 11 por ciento de las amenazas de correo electrónico identificadas por HP Sure Click consiguieron evadir uno o más escáneres de pasarela de correo electrónico.
Igualmente, la compañía también ha detallado que los archivos ejecutables fueron el método de distribución de 'malware' más popular (39 por ciento), seguido de los archivos comprimidos y los documentos PDF (38 y 10 por ciento respectivamente).
Concretamente, el 'malware' distribuido mediante PDF ha aumentado un 2 por ciento gracias al uso de señuelos diversos, ya sean documentos judiciales como notificaciones de pagos de bonificaciones.
"Para proteger el futuro del trabajo y reducir el riesgo, las organizaciones deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades de riesgo como descargas y enlaces desconocidos. La detección por sí sola ya no es suficiente cuando herramientas legítimas pueden convertirse en puertas traseras", ha sentenciado el investigador principal de amenazas de HP Security Lab, Alex Holland.
