HP ha anunciado que el equipo de investigación de amenazas de HP Wolf Security ha identificado un aumento del 27% en las detecciones resultantes de las campañas de spam malicioso Emotet en el primer trimestre de 2022, en comparación con el cuarto trimestre de 2021, cuando Emotet hizo su primera reaparición.
El último informe global HP Wolf Security Threat Insights -que proporciona un análisis de los ataques reales de ciberseguridad del mundo – muestra que Emotet ha subido 36 puestos y se ha convertido en la familia de malware más común detectada este trimestre (representando el 9% de todo el malware capturado).
Una de estas campañas -dirigida a organizaciones japonesas y que implicaba el secuestro de hilos de correo electrónico (email thread hijacking) para engañar a los destinatarios e infectar sus PC-, fue en gran medida responsable de un aumento del 879% en las muestras de malware .XLSM (Microsoft Excel) capturadas en comparación con el trimestre anterior.
Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los endpoints de los usuarios, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Entre los ejemplos más destacados se encuentran:
- Las alternativas invisibles a los documentos maliciosos de Microsoft Office son cada vez más frecuentes a medida que las macros comienzan a ser eliminadas: Desde que Microsoft ha empezado a desactivar las macros, HP ha observado un aumento de los formatos no basados en Office, incluidos los archivos maliciosos de Java Archive (+476%) y los archivos de JavaScript (+42%), en comparación con el trimestre anterior. Este tipo de ataques son más difíciles de defender para las organizaciones porque los índices de detección de estos tipos de archivos suelen ser bajos, lo que aumenta las posibilidades de infección.
- Los indicios señalan que el contrabando de HTML (HTML smuggling) va en aumento: El tamaño medio del archivo de las amenazas HTML creció de 3KB a 12KB, lo que indica un aumento en el uso del contrabando de HTML, una técnica en la que los ciberdelincuentes incrustan el malware directamente en los archivos HTML para eludir las puertas de enlace del correo electrónico y evadir la detección, antes de obtener acceso y robar información financiera crítica. Recientemente se han visto campañas dirigidas a bancos latinoamericanos y africanos.
- La campaña de malware «Dos por uno» conduce a múltiples infecciones de tipo RAT (remote Access troyans): Se descubrió que un ataque con un script de Visual Basic se utilizaba para iniciar una cadena de ataques que daba lugar a múltiples infecciones en el mismo dispositivo, dando a los atacantes acceso persistente a los sistemas de las víctimas con VW0rm, NjRAT y AsyncRAT.
Los resultados se basan en los datos de muchos millones de endpoints que ejecutan HP Wolf Security. HP Wolf Security rastrea el malware abriendo tareas de riesgo en micro-máquinas virtuales (micro-VM) aisladas para proteger al usuario y comprender y capturar toda la cadena de intentos de infección, mitigando las amenazas que se han escapado de otras herramientas de seguridad.
Hasta la fecha, los clientes de HP han hecho clic en más de 18.000 millones de archivos adjuntos de correo electrónico, páginas web y descargas sin que se haya informado de ninguna infracción. Estos datos proporcionan una visión única de cómo los agentes de amenazas utilizan el malware en la realidad.
Otras conclusiones clave del informe son:
- El 9% de las amenazas no se habían visto antes en el momento en que se aislaron, y el 14% del malware de correo electrónico aislado había evitado al menos un escáner de puerta de enlace de correo electrónico.
- Se tardó más de 3 días (79 horas), de media, en ser reconocido por la función hash a otras herramientas de seguridad.
- El 45% de los programas maliciosos aislados por HP Wolf Security eran formatos de archivos de Office.
- Las amenazas utilizaron 545 familias de malware diferentes en sus intentos de infectar a las organizaciones, siendo Emotet, AgentTesla y Nemucod las tres primeras.
- Un exploit de Microsoft Equation Editor (CVE-2017-11882) representó el 18% de todas las muestras maliciosas capturadas.
- El 69% de los programas maliciosos detectados se distribuyeron por correo electrónico, mientras que las descargas web fueron responsables del 18%. Los archivos adjuntos más utilizados para distribuir el malware fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
- Los archivos adjuntos más utilizados para enviar programas maliciosos fueron hojas de cálculo (33%), ejecutables y scripts (29%), archivos (22%) y documentos (11%).
- Los engaños de phishing más comunes eran transacciones comerciales como «Pedido», «Pago», «Compra», «Solicitud» y «Factura».
Al aislar las amenazas que han evadido las herramientas de detección y han llegado a los puntos finales de los usuarios, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes.
El equipo de HP Wolf Security analizará el informe sobre amenazas del primer trimestre de 2022 en una sesión informativa el 7 de junio a las 17h.