Los hackers han diversificado por completo sus métodos de ataque en los últimos tiempos, especialmente con el aumento de las campañas de phishing mediante códigos QR. Es lo que se desprende el último informe trimestral de HP, HP Wolf Security Threat Insights.
Gracias a su tecnología de aislamiento, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes, conociendo las amenazas que han evadido las herramientas de detección y han llegado a los endpoints de los usuarios. Hasta la fecha, aquellos clientes que cuentan con HP Wolf Security han hecho clic en más de 25.000 millones de archivos adjuntos de correo electrónico, páginas web y descargados sin que se haya informado de ninguna infracción.
Desde febrero de 2022, Microsoft comenzó a bloquear las macros en los archivos de Office de forma predeterminada, lo que dificulta a los atacantes la ejecución de código dañino.
Conclusiones del informe
Los datos recopilados por el equipo de investigación de amenazas de HP muestran que, desde el segundo trimestre de 2022, los atacantes han diversificado sus técnicas para encontrar nuevas formas de vulnerar dispositivos y robar datos. Basándose en los datos de millones de endpoints que ejecutan HP Wolf Security, la investigación ha descubierto:
- El auge de las estafas al escanear un código QR: desde octubre de 2022, HP ha visto campañas casi diarias de «estafas de escaneado» de códigos QR. Estas estafas engañan a los usuarios para que escaneen los códigos desde sus ordenadores utilizando sus dispositivos móviles, potencialmente para aprovecharse de la menor protección y detección del phishing en dichos dispositivos. Los códigos QR dirigen a los usuarios a sitios web maliciosos en los que se les piden datos de tarjetas de crédito y débito. Entre los ejemplos ocurridos en el cuarto trimestre se incluyen campañas de phishing que se hacen pasar por empresas de paquetería para solicitar el pago.
- HP ha observado un aumento del 38% en los archivos PDF adjuntos maliciosos: los ataques recientes utilizan imágenes incrustadas que enlazan con archivos ZIP maliciosos cifrados, eludiendo los escáneres de pasarela web. Las instrucciones del PDF contienen una contraseña y se engaña al usuario para que la introduzca y descomprima un archivo ZIP, desplegando el malware QakBot o IcedID para obtener acceso no autorizado a los sistemas, que se utilizan como primera línea para desplegar ransomware.
- El 42 % del malware se introdujo en archivos comprimidos como ZIP, RAR e IMG: la popularidad de los archivos comprimidos ha aumentado un 20% desde el primer trimestre de 2022, a medida que las amenazas cambian a ficheros de scripts para ejecutar sus ataques. Mientras que el 38% del malware es distribuido a través de archivos de Office como Microsoft Word, Excel y PowerPoint.
«Hemos visto a distribuidores de malware como Emotet intentar eludir la política de macros más estricta de Office con complejas tácticas de ingeniería social, que creemos están resultando menos eficaces. Pero cuando una puerta se cierra, otra se abre, como demuestra el aumento de las estafas de escaneado, la publicidad maliciosa, los archivos y el malware de PDF», explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP. «Los usuarios deben estar atentos a los correos electrónicos y sitios web que piden escanear códigos QR y entregar datos sensibles, así como a los archivos PDF que enlazan con archivos protegidos por contraseña».
En el cuarto trimestre, HP también descubrió 24 proyectos de software conocidos imitados en campañas de publicidad maliciosas utilizadas para infectar PCs con ocho familias de malware, frente a sólo dos campañas similares registradas el año anterior. Los ataques se basan en que los usuarios hagan clic en anuncios de motores de búsqueda, que conducen a sitios web maliciosos de aspecto casi idéntico a los sitios web reales.
“Aunque las técnicas evolucionan, las amenazas siguen recurriendo a la ingeniería social para atacar a los usuarios en el endpoint», comenta Ian Pratt, responsable mundial de seguridad de sistemas personales de HP. «Las organizaciones deben desplegar un fuerte aislamiento para contener los vectores de ataque más comunes, como el correo electrónico, la navegación web y las descargas. Combinando esto con soluciones de protección de credenciales que adviertan o impidan a los usuarios introducir datos confidenciales en sitios sospechosos, se reduce considerablemente la superficie de ataque y se mejora la postura de seguridad de una organización».