Los atacantes convierten herramientas legítimas de acceso remoto en puertas traseras invisibles
- Seguridad
Un estudio de HP revela campañas que abusan de software confiable como LogMeIn o ScreenConnect para tomar el control de equipos sin levantar sospechas. Los ciberdelincuentes también emplean falsos recuperadores de criptomonedas y malware oculto en archivos de audio para evadir defensas.
HP ha publicado su último Threat Insights Report, en el que alerta de un aumento significativo de ataques que utilizan herramientas legítimas de acceso remoto como vector de intrusión.
Según la investigación, los ciberdelincuentes están distribuyendo aplicaciones como LogMeIn o ScreenConnect a través de campañas de phishing vinculadas al cierre del año fiscal o mediante descargas falsas de aplicaciones de escritorio, incluidas webs de citas, para obtener control persistente de los dispositivos sin generar alertas de seguridad. Estas herramientas, al ser confiables y habituales en entornos corporativos, permiten a los atacantes camuflarse entre la actividad normal de TI y operar sin ser detectados.
Malware más sigiloso y técnicas que imitan actividad legítima
El informe también identifica campañas dirigidas a usuarios que buscan recuperar criptomonedas perdidas. Los atacantes distribuyen falsos programas de recuperación que, en realidad, roban credenciales y datos de monederos digitales. Estos scripts, repletos de emojis, muestran un uso creciente de técnicas de “vibe coding” impulsadas por IA para hacerlos más atractivos y creíbles para las víctimas.
Otra tendencia destacada son los ataques ClickFix, en los que el malware se oculta dentro de archivos que aparentan ser audio. Los usuarios son guiados a través de páginas falsas con CAPTCHA realistas que, al completarse, ejecutan comandos maliciosos en segundo plano sin que el usuario lo perciba.
“Lo que destaca en estas campañas es lo fácilmente que herramientas legítimas de acceso remoto se convierten en puntos de entrada para los atacantes”, señala Patrick Schläpfer, Principal Threat Researcher en HP Security Lab. “Al combinar software confiable con ingeniería social vinculada a eventos como el cierre del año fiscal, es cada vez más difícil distinguir qué es fiable y qué no”.
El informe muestra además que al menos el 11% de las amenazas por correo electrónico identificadas por HP Sure Click lograron evadir uno o más filtros de pasarelas de correo. Los archivos ejecutables siguen siendo el método de entrega de malware más común (39%), seguidos de archivos comprimidos (38%) y documentos PDF (10%), con un aumento del uso de señuelos como documentos judiciales o pagos de bonus para generar urgencia en el usuario.
“Estos ataques no parecen intrusiones: parecen actividad normal, mezclándose con las operaciones habituales de TI y evitando las señales típicas del malware”, explica Alex Holland, Principal Threat Researcher en HP Security Lab. “La detección no es suficiente cuando las herramientas legítimas se convierten en puertas traseras. Las organizaciones deben restringir privilegios, controlar instalaciones y aislar actividades de riesgo”.
HP recuerda que su tecnología Wolf Security permite aislar amenazas que han evadido otras defensas, detonando el malware en contenedores seguros sin comprometer el dispositivo. Hasta la fecha, los usuarios han hecho clic en más de 60.000 millones de archivos y enlaces potencialmente peligrosos sin que se haya registrado ninguna brecha gracias a este aislamiento.
