HP ha publicado su informe trimestral HP Wolf Security Threat Insights, que muestra como los atacantes realizan ataques a través del navegador Chrome en los usuarios que intentan descargar películas o videojuegos populares de sitios web piratas.

Al aislar las amenazas que han sido capaces de eludir las soluciones de seguridad basadas en la detección en los PC, HP Wolf Security tiene una visión única de las últimas técnicas utilizadas por los ciberdelincuentes en el cambiante panorama de la ciberdelincuencia. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 30.000 millones de adjuntos de correos electrónicos, páginas web y archivos descargados sin que se haya informado de ninguna infracción.

Basándose en los datos de millones de endpoints que ejecutan HP Wolf Security, los investigadores descubrieron:

• La extensión de Chrome Shampoo es difícil de eliminar: Una campaña que distribuye el malware ChromeLoader engaña a los usuarios para que instalen una extensión maliciosa de Chrome llamada Shampoo. Puede redirigir las consultas de búsqueda de la víctima a sitios web maliciosos, o a páginas que harán ganar dinero al grupo criminal a través de campañas publicitarias. El malware es muy persistente y utiliza el programador de tareas para reiniciarse cada 50 minutos.
• Los atacantes eluden las políticas de macros utilizando dominios de confianza: Aunque las macros de fuentes no confiables ahora están deshabilitadas, HP detectó como algunos intentos de ataque trababan de eludir estos controles comprometiendo una cuenta fiable de Office 365, configurando un nuevo correo electrónico de la compañía y distribuyendo un archivo de Excel malicioso que infecta a las víctimas con el infostealer Formbook.
• Las empresas deben tener cuidado con lo que se esconde debajo: Los documentos de OneNote pueden actuar como álbumes de recortes digitales, por lo que cualquier archivo puede adjuntarse dentro. Los atacantes se aprovechan de ello para incrustar archivos maliciosos detrás de falsos iconos de "haga clic aquí". Al hacer clic en el icono falso, se abre el archivo oculto y se ejecuta el malware que da a los atacantes acceso al dispositivo del usuario, acceso que luego pueden vender a otros grupos de ciberdelincuentes y bandas de ransomware.

Grupos sofisticados como Qakbot e IcedID introdujeron por primera vez malware en archivos de OneNote en enero. Ahora que los kits de OneNote están disponibles en los mercados de la ciberdelincuencia y que su uso requiere pocos conocimientos técnicos, parece que sus campañas de malware continuarán en los próximos meses.

"Para protegerse de las amenazas más recientes, aconsejamos a los usuarios y a las empresas que eviten descargar material de sitios no fiables, en particular de sitios piratas. Los empleados deben desconfiar de los documentos internos sospechosos y consultar con el remitente antes de abrirlos. Las organizaciones también deben configurar las políticas gateway de correo electrónico y de las herramientas de seguridad para bloquear los archivos de OneNote procedentes de fuentes externas desconocidas", explica Patrick Schläpfer, analista de malware en el equipo de investigación de amenazas de HP Wolf Security de HP.

Desde archivos comprimidos maliciosos hasta el contrabando de HTML (HTML smuggling), el informe también muestra que los grupos de ciberdelincuentes siguen diversificando los métodos de ataque para eludir las puertas de enlace del correo electrónico, a medida que los actores de las amenazas se alejan de los formatos de Office. Las principales conclusiones son:

• Los archivos fueron el tipo de entrega de malware más popular (42%) por cuarto trimestre consecutivo al examinar las amenazas detenidas por HP Wolf Security en el primer trimestre.
• Las amenazas de contrabando de HTML aumentaron un 37% en el primer trimestre frente al cuarto.
• Las amenazas de PDF aumentaron 4 puntos en el primer trimestre frente al cuarto.
• Se produjo un descenso de 6 puntos en el malware de Excel (del 19% al 13%) en el primer trimestre frente al cuarto, ya que el formato se ha vuelto más difícil para ejecutar macros.
• El 14% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico en el primer trimestre de 2023.
• El principal vector de amenazas en el primer trimestre fue el correo electrónico (80 %), seguido de las descargas del navegador (13%).

"Para protegerse contra ataques cada vez más variados, las organizaciones deben seguir los principios de confianza cero para aislar y contener actividades de riesgo como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces o descargas del navegador. De este modo se reduce en gran medida la superficie de ataque y el riesgo de violación", asegura Dr. Ian Pratt, responsable global de Seguridad para Sistemas Personales de HP.

HP Wolf Security ejecuta tareas de riesgo como abrir archivos adjuntos de correo electrónico, descargar archivos y hacer clic en enlaces en micromáquinas virtuales (micro-VM) aisladas para proteger a los usuarios. También captura rastros detallados de los intentos de infección. La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que podrían pasar desapercibidas para otras herramientas de seguridad y proporciona información única sobre nuevas técnicas de intrusión y el comportamiento de los actores de las amenazas.