MADRID, 20 de diciembre. (Portaltico/EP) –
El 44 por ciento del malware distribuidor durante el tercer trimestre de este año se ha encontrado dentro de archivos comprimidos ZIP y RARque se han convertido en los archivos mas comunes para distribución de este tipo de ‘software’ malicioso, hasta el punto de que han superado el número de ataques llevados a cabo a través de archivos Office por primera vez en tres años, según un informe de HP Wolf Security.
El estudio, realizado por la empresa de tecnología estadounidense HP, se ha basado en los datos recopilados de los dispositivos que ejecutan la solución de seguridad HP Wolf Security. Como resultado se han identificado campañas de ataques que combina el uso de archivos comprimidos estafa nuevas técnicas de contrabando de HTML.
Para llevar a cabo estos ataques, los ciberdelincuentes incrustan archivos comprimidos maliciosos en otros HTML, de forma que sortean las soluciones de seguridad dispuestas en el correo electrónicoasí como el proxy o sandbox, tal y como ha informado HP en un comunicado.
Entonces, los ataques a través de archivos comprimidos se consolidan como los más comunes de distribución de malware (un 44 por ciento), esto es, un 11 por ciento más que en el trimestre anterior. En base a ello, super la distribucion de contenido malicioso a a través de archivos de Office como Microsoft Word, Excel y Power Point (un 32 por ciento).
Hasta ahora, la distribución de virus a través de archivos de Office era el método más común, pero por primera vez en tres añosse han identificado más distribuciones de malware a través de archivos ZIP y RAR.
Un ejemplo de campañas de este estilo son las de QakBot y Ice IDen las que los ciberdelincuentes utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos ‘online’ que se hacienda pasar por un programa de Adobe. Tras abrir el documento, se solicitó a los usuarios pulsar sobre el archivo ZIP y que introdujeran una contraseña para poder descomprimir los archivos. Al hacerlo, el malware se desplegaba en sus equipos.
Para llevar a cabo el ataque, el ciberdelincuente utiliza ingenieria social para engañar al usuario mediar la creación de una página web convincente y bien diseñado. Para ganarse su confianza, de hecho, estos estafadores utilizancan paginas falsas de google drive, tal y como recoge este informe.
Al respecto, el principal analista de malware del equipo de investigación de amenazas de HP Wolf Security, alex holanda, ha insistido en que lo interesante de las campañas de QakBot y IceID ha sido el esfuerzo realizado para crear páginas falsas. «Estas campañas eran más convincentes que las que habíamos visto anteslo que dificulta que la gente sepa en qué archivos puede confiar y en características no”, dijo.
Por otra parte, HP también ha puntualizado en este estudio que lego a identificar una campaña de ataques que funciona mediate el uso de una cadena de infección modular. Este tipo de ataques tienen un carácter complejoya que permite a los atacantes cambiar el método de ataque en función del objetivo que haya vulnerado o presente nuevas características mientras se está concluyendo.
De esta forma, los ciberdelincuentes podrían atacar con spyware para compartir información de los usuarios con una entidad externa o cambiar a ramsomware y robar datos de los usuarios, según el objetivo que tengan vulnerable. Además, pueden introducir nuevas características como el geo-cercado, cuya tecnologia utiliza la ubicación proporcionada por GPS y el uso de datos de un dispositivo móvil.
Igualmente, desde la empresa han puntualizado que, al no introducir el malware directamente en el archivo adjunto sentado al objetivo, es más complicado detectar este tipo de ataque.
SEGURIDAD DE LOBO HP
Como solucion a estos ataquesel Ian Pratt, director global de seguridad para sistemas personales de HP, proponga el uso de la tecnología de aislamiento de aplicaciones Zero Trust que utiliza HP Wolf Security.
esta tecnología ejecuta las tareas de risego, como la apertura de archivos adjuntos de correo electrónico, la descarga de archivos y el clic en enlaces, en máquinas microvirtuales (micro-VM) aisladas. De esta forma, protege a los usuarios, capturando rastros de detalles de los intentos de ataque.
«Las organizaciones pueden utilizar la microvirtualización para asegurarse de que las tareas sean potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecutan en una máquina virtual desechable separada de los sistemas subyacentes», ha indicado.
Este proceso es «completamente invisible para el usuario» y permite que el sistema capture «cualquier malware oculto en su interior, asegurando que los atacantes no tengan acceso a los datos sensibles e impidiéndoles acceder y movese lateralmente», explicó Ian Pratt.
Con esta tecnología HP aisla las amenazas en los ordenadores que han eludido las herramientas de detección. Por lo tanto, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Estos datos indican que, hasta la fecha, los clientes de HP han hecho clic en más de 18.000 millones de archivos adjuntos de correo electrónicopáginas web y archivos descargados sin que se hayan registrado infracciones.