El despertar del LNK: los ciberdelincuentes cambian sus estrategias para acceder a los ordenadores empresariales

El despertar del LNK: los ciberdelincuentes cambian sus estrategias para acceder a los ordenadores empresariales

HP ha publicado hoy su informe trimestral Threat Insights, en el que destaca una nueva oleada de ciberdelincuentes que propagan familias de malware -como QakBot, IceID, Emotet y RedLine Stealer- están recurriendo a los archivos con accesos directos o enlaces (los típicos “LNK”) para distribuir el malware. Los accesos directos están sustituyendo a las macros de Office, que requieren demasiada intervención y superación de alertas de riesgo por parte del usuario; estos accesos directos son una forma de que los atacantes se introduzcan en las redes engañando a los usuarios para que infecten sus PCs. Este acceso puede utilizarse para robar datos valiosos de la empresa, o venderse a grupos de ransomware, lo que puede dar lugar a violaciones a gran escala que podrían paralizar las operaciones de la empresa y dar lugar a importantes costes de recuperación del negocio, datos y operaciones.

El último informe global HP Wolf Security Threat Insights -que proporciona un análisis de los ciberataques del mundo real- muestra un aumento del 11% en los archivos comprimidos que contienen malware, incluidos los archivos tipo LNK. Los atacantes suelen colocar archivos de acceso directo en archivos adjuntos de correo electrónico ZIP, para ayudarles a evadir los escáneres de correo electrónico. El equipo también detectó creadores de malware LNK disponibles para su compra en foros de hackers, lo que facilita que los ciberdelincuentes se decanten por esta técnica de ejecución de código «sin macros», creando archivos de acceso directo armados y difundiéndolos entre las empresas.

«A medida que las macros descargadas de la web se bloquean por defecto en Office, estamos atentos a los métodos de ejecución alternativos que están probando los ciberdelincuentes. Abrir un acceso directo o un archivo HTML puede parecer inofensivo para un empleado, pero puede suponer un gran riesgo para la empresa», explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP. «Las empresas deben tomar medidas ahora para protegerse contra las técnicas cada vez más utilizadas por los atacantes o quedar expuestas a medida que se generalizan. Recomendamos bloquear inmediatamente los archivos de acceso directo recibidos como archivos adjuntos en el correo electrónico o descargados de la web siempre que sea posible».

Al aislar las amenazas los ordenadores que han evadido las herramientas de detección (impidiendo la infección en el dispositivo real), HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Además del aumento de los archivos LNK, el equipo de investigación de amenazas ha destacado los siguientes aspectos este trimestre: 

  • El envío de archivos HTML alcanza una magnitud crítica: HP identificó varias campañas de phishing que utilizaban correos electrónicos que se hacían pasar por servicios postales regionales o, como predijo HP, grandes eventos como la Expo 2023 de Doha (que atraerá a más de 3 millones de asistentes en todo el mundo) que utilizaban el envío masivo de archivos HTML para distribuir malware. Utilizando esta técnica, los tipos de archivos peligrosos que de otro modo serían bloqueados por las puertas de enlace del correo electrónico pueden introducirse de forma ilegal en las organizaciones y dar lugar a infecciones de malware.
  • Los atacantes aprovechan la fisura creada por la vulnerabilidad de día cero Follina (CVE-2022-30190) – Tras su divulgación, múltiples autores de amenazas explotaron la reciente vulnerabilidad de día cero en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT) -apodada «Follina»- para distribuir QakBot, Agent Tesla y el Remcos RAT (troyano de acceso remoto) antes de que estuviera disponible un parche. La vulnerabilidad es especialmente peligrosa porque permite a los atacantes ejecutar código arbitrario para desplegar malware, y requiere poca interacción del usuario para explotarla en los dispositivos.
  • Una nueva técnica de ejecución hace que el shellcode oculto en documentos se propague el malware SVCReady– HP ha descubierto una campaña que distribuye una nueva familia de malware llamada SVCReady, que destaca por la forma inusual en que se distribuye a los PCs: a través de shellcode oculto en las propiedades de los documentos de Office. El malware -diseñado principalmente para descargar cargas útiles de malware secundarias en los ordenadores infectados tras recopilar información del sistema y realizar capturas de pantalla- se encuentra todavía en una fase temprana de desarrollo, habiendo sido actualizado varias veces en los últimos meses.

Los resultados se basan en los datos de millones de puntos de acceso que ejecutan HP Wolf Security. HP Wolf Security ejecuta tareas de riesgo como la apertura de archivos adjuntos de correo electrónico, la descarga de archivos y hacer clic en enlaces, ejecutando esas tareas (páginas, apps, etc) en micro-máquinas virtuales (micro-VM) aisladas para evitar el acceso del malware a los datos reales y ordenadore “real”, protegiendo de este modo a los usuarios, capturando rastros detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden pasar desapercibidas para otras herramientas de seguridad, y proporciona una visión única de las nuevas técnicas de intrusión y del comportamiento de los actores de las amenazas. Hasta la fecha, los clientes de HP han hecho clic en más de 18.000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados, sin que se hayan registrado brechas de seguridad.

Otras conclusiones clave del informe son:

  • El 14% del malware de correo electrónico capturado por HP Wolf Security eludió al menos un escáner de puerta de enlace de correo electrónico.
  • Los actores de las amenazas utilizaron 593 familias de malware diferentes en sus intentos de infectar a las organizaciones, en comparación con las 545 del trimestre anterior.
  • Las hojas de cálculo siguieron siendo el principal tipo de archivo malicioso, pero el equipo de investigación de amenazas observó un aumento del 11% en las amenazas de archivo, lo que sugiere que los atacantes están colocando cada vez más archivos en archivos comprimidos antes de enviarlos para evadir la detección.
  • El 69% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 17%.
  • Los engaños de phishing más comunes fueron las transacciones comerciales como «Pedido», «Pago», «Compra», «Solicitud» y «Factura».

«Los atacantes están probando nuevos formatos de archivos maliciosos o ataques para eludir la detección, por lo que las organizaciones deben prepararse para lo inesperado. Esto significa adoptar un enfoque arquitectónico de la seguridad de los puntos de acceso, por ejemplo, limitando los vectores de ataque más comunes, como el correo electrónico, los navegadores y las descargas, de modo que las amenazas queden aisladas independientemente de que puedan ser detectadas«, comenta el Dr. Ian Pratt, responsable global de seguridad para sistemas personales de HP. «Esto eliminará la superficie de ataque para tipos enteros de amenazas, a la vez que dará a la organización el tiempo necesario para coordinar los ciclos de parches de forma segura sin interrumpir los servicios

Sobre el autor