HP analiza la descarga de archivos ".ZIP " como la forma más frecuente de descargar malware
7 de Diciembre de 2022El informe de seguridad de HP Wolf muestra que la poderosa combinación de archivos comprimidos y el contrabando de HTML está ayudando a los actores de amenazas a engañar a las herramientas de detección.
HP Inc. publicó su informe HP Wolf Security Threat Insights Report del tercer trimestre , y descubrió que los formatos de archivos comprimidos, como los archivos ZIP y RAR, eran el tipo de archivo más común para entregar malware, superando a los archivos de Office por primera vez en tres años.
Este informe proporciona un análisis de los ataques cibernéticos del mundo real, lo que ayuda a las organizaciones a mantenerse al día con las últimas técnicas que utilizan los ciberdelincuentes para evadir la detección y violar a los usuarios en el panorama del cibercrimen que cambia rápidamente.
Con base en datos de millones de puntos finales que ejecutan HP Wolf Security, la investigación encontró que el 44 % del malware se entregó dentro de archivos comprimidos (un aumento del 11 % con respecto al trimestre anterior), en comparación con el 32 % entregado a través de archivos de Office como Microsoft Word, Excel y PowerPoint.
El informe identificó varias campañas que combinaban el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML, donde los ciberdelincuentes incrustan archivos comprimidos maliciosos en archivos HTML para eludir las puertas de enlace de correo electrónico, para luego lanzar ataques.
Por ejemplo, las campañas recientes de QakBot y IceID utilizaron archivos HTML para dirigir a los usuarios a visores de documentos en línea falsos que se hacían pasar por Adobe. Luego, se instruyó a los usuarios para que abrieran un archivo ZIP e ingresaran una contraseña para descomprimir los archivos, que luego implementaron malware en sus PC.
Como el malware dentro del archivo HTML original está codificado y encriptado, es muy difícil detectarlo mediante la puerta de enlace de correo electrónico u otras herramientas de seguridad. En cambio, el atacante confía en la ingeniería social, creando una página web convincente y bien diseñada para engañar a las personas para que inicien el ataque abriendo el archivo ZIP malicioso. En octubre, también se descubrió que los mismos atacantes usaban páginas falsas de Google Drive en un esfuerzo continuo por engañar a los usuarios para que abrieran archivos ZIP maliciosos.
“Los archivos son fáciles de cifrar, lo que ayuda a los actores de amenazas a ocultar malware y evadir proxies web, sandboxes o escáneres de correo electrónico. Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML. Lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas: estas campañas fueron más convincentes que las que hemos visto antes, lo que dificulta que las personas sepan en qué archivos pueden y en qué no pueden confiar.”, explica Alex Holland, analista sénior de malware, equipo de investigación de amenazas de HP Wolf Security, HP Inc.
HP también identificó una campaña compleja que usaba una cadena de infección modular, que potencialmente podría permitir a los atacantes cambiar la carga útil, como spyware, ransomware, keylogger, en medio de la campaña o introducir nuevas características, como geo-fencing. Esto podría permitir que un atacante cambie de táctica según el objetivo que haya violado. Al no incluir malware directamente en el archivo adjunto enviado al objetivo, también es más difícil para las puertas de enlace de correo electrónico detectar este tipo de ataque.
“Como se muestra, los atacantes cambian constantemente de técnica, lo que dificulta que las herramientas de detección los detecten”, comenta el Dr. Ian Pratt, director global de seguridad para sistemas personales de HP Inc. “Al seguir el principio Zero Trust de aislamiento detallado, las organizaciones pueden usar la microvirtualización para asegurarse de que las tareas potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecuten en una máquina virtual desechable separada de los sistemas subyacentes. Este proceso es completamente invisible para el usuario y atrapa cualquier malware oculto en su interior, asegurándose de que los atacantes no tengan acceso a datos confidenciales y evitando que obtengan acceso y se muevan lateralmente”.
HP Wolf Security ejecuta tareas riesgosas como abrir archivos adjuntos de correo electrónico, descargar archivos y hacer clic en enlaces en micromáquinas virtuales aisladas (micro-VM) para proteger a los usuarios, capturando rastros detallados de intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pueden pasar desapercibidas para otras herramientas de seguridad y brinda información única sobre las nuevas técnicas de intrusión y el comportamiento de los actores de amenazas. Al aislar las amenazas en las PC que han evadido las herramientas de detección, HP Wolf Security tiene una visión específica de las técnicas más recientes que utilizan los ciberdelincuentes. Hasta la fecha, los clientes de HP han hecho clic en más de 18 000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan informado infracciones.