El correo electrónico se consolida como principal entrada de los programas maliciosos

  • Seguridad

HP Wolf - imagen generica

Un nuevo informe de HP Wolf Security constata que el email es el principal vector de entrada de los programas maliciosos. Los datos del proveedor son que el 77% de los detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 13% restante.

Recomendados: 

Lee IT Digital Security (Febrero de 2022) para PC y Mac Leer

Identificación de ataques web Leer

En su último informe global, HP Wolf Security Threat Insights, HP proporciona un análisis de los ataques de ciberseguridad que se llevan a cabo actualmente en el mundo. De él se desprende que la mayor puerta de entrada a los programas maliciosos, que la firma ha aislado, es el correo electrónico, ya que el el 77% se enviaron por correo electrónico. Las descargas web supusieron el 13%.

El mismo porcentaje de malware, 13%, habría sido capaz de saltar al menos la solución de seguridad de correo electrónico. El análisis también indica que las amenazas utilizaron 136 extensiones de archivo diferentes en sus intentos de infectar a las organizaciones.

En lo que respecta a los archivos adjuntos más utilizados para enviar los programas, fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).

Principales amenazas detectadas
El equipo de investigación de amenazas de HP Wolf Security identificó en el último tramo del año una ola de ataques que utilizan la función de complementos de Excel para propagar malware, ayudando a los delincuentes a obtener acceso a los objetivos y exponiendo a las empresas y a los usuarios a robos de datos y a destructivos ataques de ransomware. En comparación con el trimestre anterior, se multiplicó por seis (+588%) el número de atacantes que utiliza la función de complementos de Microsoft Excel (.xll) para infectar los sistemas, una técnica especialmente peligrosa, ya que basta un solo clic para ejecutar el malware. El equipo también encontró anuncios de kits de creación de malware basado en complementos de Excel (extensión .xll) y herramientas para su envío (conocidos como droppers) en mercados clandestinos, que facilitan a los hackers sin experiencia el lanzamiento de los ataques.

Además, una reciente campaña de spam de QakBot utilizó archivos de Excel para engañar a los usuarios. La campaña consistía en utilizar cuentas de correo electrónico comprometidas para realizar ataques de tipo hijack (técnica que permite suplantar la identidad creando nuevos correos) utilizando un archivo de Excel (.xlsb) malicioso adjunto. Después de ser enviado por el sistema, QakBot se inyectaba en procesos legítimos de Windows para evitar su detección. Archivos maliciosos de Excel (.xls) también fueron utilizados para propagar el troyano bancario Ursnif en empresas y organizaciones del sector público italiano a través de una campaña de spam malicioso, en la que los atacantes se hicieron pasar por el servicio de mensajería italiano BRT. Las nuevas campañas que propagan el malware Emotet, utilizan ahora también ficheros Excel en lugar de archivos JavaScript o Word

El equipo también destaca en su informe una campaña de phishing por correo electrónico de MirrorBlast que compartía muchas tácticas, técnicas y procedimientos (TTP) con TA505, un grupo de ciberdelincuentes motivados con un claro objetivo financiero y conocido por sus campañas masivas de malware y por monetizar mediante malware el acceso a los sistemas infectados . El ataque se dirigía a las organizaciones con el troyano de acceso remoto (RAT) FlawedGrace.

También menciona se ha descubierto un sitio servidor falso de la plataforma Discord, que engaña a los usuarios para que descarguen el infostealer (método de intrusión que basa su comportamiento en un troyano que roba información del sistema) RedLine y roba sus credenciales. En este apartado cita que el grupo de amenazas Aggah atacó a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) encubiertos como órdenes de compra, infectando los sistemas con troyanos que ganaban acceso remoto. El malware de PowerPoint es inusual, ya que representa el 1% del malware.