El equipo de investigación de HP Wolf Security confirma como ciberdelincuentes utilizan proveedores legítimos de la nube para alojar malware y cambian los tipos de archivos y scripts para evadir las herramientas de detección
HP ha publicado su último informe global HP Wolf Security Threat Insights, que incluye un análisis de los ataques de ciberseguridad más comunes. De esta forma, HP Wolf Security ofrece una amplia visión de las técnicas más utilizadas por los ciberdelincuentes, al aislar las amenazas que han evadido las herramientas de detección y han alcanzado sus objetivos finales.
El equipo de investigación de amenazas de HP Wolf Security encontró pruebas de que los ciberdelincuentes están aumentando la capacidad de aprovechar vulnerabilidades zero day. Concretamente el ataque zero day CVE-2021-40444 -una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office- fueron registrados por primera vez por HP el 8 de septiembre, una semana antes de que se ejecutara el parche, el 14 de septiembre.
El 10 de septiembre, apenas tres días después del boletín inicial de amenazas, el equipo de investigación de amenazas de HP observó que se compartían scripts en la plataforma GitHub, diseñados para automatizar la creación de este exploit. A menos que sea parcheado, el exploit permite a los delincuentes comprometer los dispositivos sin interecacción del usuario. Esta vulnerabilidad utiliza un archivo malicioso de un documento de Office que permite desplegar el malware. Los usuarios no tienen que abrir el archivo ni habilitar ninguna macro, basta con verlo en el panel de vista previa del explorador de archivos para iniciar el ataque. Una vez comprometido el dispositivo, los atacantes pueden instalar puertas traseras en los sistemas, que podrían venderse a grupos de ransomware.
Otras amenazas notables aisladas por el equipo de seguridad de HP Wolf Security incluyen:
- Aumento de los ciberdelincuentes que utilizan proveedores legítimos de la nube y de la web para alojar malware: Una reciente campaña de GuLoader alojaba el troyano de acceso remoto (RAT) Remcos en plataformas tan importantes como OneDrive para evadir los sistemas de detección y pasar las pruebas de listas blancas. HP Wolf Security también descubrió varias familias de malware alojadas en plataformas de redes sociales de juegos como Discord.
- El malware de JavaScript se escapa de las herramientas de detección: Una campaña de propagación de varias RATs de JavaScript que se distribuyen a través de archivos adjuntos de correo electrónico. Los ficheros descargados de JavaScript tienen un índice de detección más bajo que los de Office o los binarios. Las RAT son cada vez más comunes, ya que los atacantes pretenden robar las credenciales de las cuentas empresariales o las carteras de criptomonedas.
- Se encontró una campaña dirigida que se hacía pasar por la Caja Nacional de la Seguridad Social de Uganda: Los atacantes utilizaron la técnica de «typosquatting» -utilizando una dirección web falsa similar a un nombre de dominio oficial- para atraer a los objetivos a un sitio que descarga un documento de Word malicioso. Este utiliza macros para ejecutar un script de PowerShell que bloquea el registro de seguridad y evade la función de la interfaz de exploración antimalware de Windows.
- El cambio a archivos HTA propaga el malware con un solo clic: El troyano Trickbot se distribuye ahora a través de archivos HTA (aplicación HTML), que despliegan el malware en cuanto se abre el archivo adjunto que lo contiene. Al ser un tipo de archivo poco común, es menos probable que las herramientas detecten los archivos HTA maliciosos.
“El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta ’ventana de vulnerabilidad’. Si bien al principio sólo podían aprovechar esta vulnerabilidad los hackers altamente capacitados, las secuencias de comandos automatizadas han bajado el listón de entrada, haciendo que este tipo de ataque sea accesible a actores con menos conocimientos y recursos.
Esto aumenta sustancialmente el riesgo para las empresas, ya que los exploits o vulnerabilidades zero day se han convertido en un producto básico y se han puesto a disposición del mercado masivo en lugares como los foros clandestinos”, explica Melchor Sanz, responsable de HP Wolf Security. “Estos nuevos exploits tienden a ser eficaces a la hora de evadir las herramientas de detección porque las firmas pueden ser imperfectas y quedar obsoletas rápidamente a medida que cambia la comprensión del alcance de un exploit. Prevemos que los actores maliciosos adopten CVE-2021-40444 como parte de sus arsenales, y potencialmente incluso reemplacen los exploits comunes utilizados para obtener el acceso inicial a los sistemas hoy en día, como los que explotan Equation Editor”.
“También estamos viendo que plataformas importantes como OneDrive permiten a los hackers realizar ataques ‘flash in the pan’. Aunque el malware alojado en estas plataformas suele ser retirado rápidamente, esto no disuade a los atacantes porque a menudo pueden lograr su objetivo de distribuir el malware en las pocas horas que los enlaces están activos”, continúa Sanz. “Algunos actores de amenazas cambian el script o el tipo de archivo que utilizan cada pocos meses. Los archivos JavaScript y HTA maliciosos no son nada nuevo, pero siguen llegando a las bandejas de entrada de los empleados, poniendo en riesgo a la empresa. Una campaña desplegó el gusano Vengeance Justice, que puede propagarse a otros sistemas y unidades USB”.
Los resultados de este estudio se basan en los datos de los millones de endpoints que ejecutan HP Wolf Security. HP Wolf Security permite rastrear el malware abriendo todas aquellas tareas que pueden conllevar riesgo de ciberseguridad en micromáquinas virtuales (micro VM) aisladas, que permiten comprender y capturar toda la cadena de infección, ayudando a mitigar las amenazas que se han escapado de otras herramientas de seguridad. Esto ha permitido a los clientes hacer clic en más de 10.000 millones de archivos adjuntos de correo electrónico, páginas web y descargas sin que se haya informado de ninguna infracción. Al comprender mejor el comportamiento del malware, los investigadores e ingenieros de HP Wolf Security pueden reforzar la protección de la seguridad y la resistencia general del sistema.
Las principales conclusiones del informe son las siguientes:
- El 12% del malware aislado por correo electrónico había eludido al menos un escáner de puerta de enlace.
- El 89% de los programas maliciosos detectados se distribuyeron por correo electrónico, mientras que las descargas web fueron responsables del 11% y otros vectores, como los dispositivos de almacenamiento extraíbles, de menos del 1%.
- Los archivos adjuntos más utilizados para distribuir programas maliciosos fueron los archivos comprimidos (38%, frente al 17,26% del trimestre anterior), los documentos de Word (23%), las hojas de cálculo (17%) y los archivos ejecutables (16%).
- Los cinco señuelos de phishing más comunes estaban relacionados con transacciones comerciales, como «pedido», «pago», «nuevo», «presupuesto» y «solicitud».
- El informe descubrió que el 12% de los programas maliciosos capturados eran desconocidos hasta el momento.
“No podemos seguir confiando sólo en la detección. El panorama de las amenazas es demasiado activo y, como podemos ver en el análisis de las amenazas capturadas en nuestras máquinas virtuales, los atacantes son cada vez más hábiles para evadir la detección”, comenta el Dr. Ian Pratt, Jefe Global de Seguridad para Sistemas Personales de HP. “Las organizaciones deben adoptar un enfoque por capas para garantizar la seguridad de los dispositivos, siguiendo los principios de zero trust para contener y aislar los vectores de ataque más comunes como el correo electrónico, los navegadores y las descargas. Esto eliminará la superficie de ataque, a la vez que dará a las organizaciones el respiro necesario para coordinar los ciclos de prevención y resolución de forma segura sin interrumpir los servicios.”