MADRID, 9 (Portaltic/EP)
Las técnicas sigilosas y las crecientes campañas de ‘malware’ mediante ficheros Excel están poniendo a las víctimas en el punto de mira de las bandas de ‘ransomware’, como se desprende del último informe de HP Wolf Security.
HP ha publicado su último informe global, HP Wolf Security Threat Insights, que proporciona un análisis de los ataques de ciberseguridad que se llevan a cabo actualmente en el mundo, y que permite conocer las últimas técnicas utilizadas por los ciberdelincuentes al aislar las amenazas que han evadido las herramientas de detección y han llegado a los ‘endpoints’ de los usuarios.
El equipo de investigación de amenazas de HP Wolf Security identificó una ola de ataques que utilizan la función de complementos de Excel para propagar ‘malware’, ayudando a los delincuentes a obtener acceso a los objetivos y exponiendo a las empresas y a los usuarios a robos de datos y a destructivos ataques de ‘ransomware’.
En comparación con el trimestre anterior, se ha multiplicado por seis (+588%) el número de atacantes que utiliza la función de complementos de Microsoft Excel (.xll) para infectar los sistemas, una técnica especialmente peligrosa, ya que basta un solo clic para ejecutar el ‘malware, como detallan en un comunicado.
El equipo también encontró anuncios de kits de creación de ‘malware’ basado en complementos de Excel (extensión .xll) y herramientas para su envío (conocidos como ‘droppers’) en mercados clandestinos, que facilitan a los ‘hackers’ sin experiencia el lanzamiento de los ataques.
Además, una reciente campaña de ‘spam’ de QakBot utilizó archivos de Excel para engañar a los usuarios. La campaña consistía en utilizar cuentas de correo electrónico comprometidas para realizar ataques de tipo ‘hijack’, una técnica que permite suplantar la identidad creando nuevos correos, utilizando un archivo de Excel (.xlsb) malicioso adjunto.
OTRAS AMENAZAS DESTACADAS
HP identificó una campaña de ‘phishing’ por correo electrónico de MirrorBlast que compartía muchas tácticas, técnicas y procedimientos con el grupo de ciberdelincuentes TA505, conocido por sus campañas masivas de ‘malware’ y por monetizar mediante programas maliciosos el acceso a los sistemas infectados. El ataque se dirigía a las organizaciones con el troyano de acceso remoto (RAT) FlawedGrace.
También han descubierto un sitio servidor falso de la plataforma Discord, que engaña a los usuarios para que descarguen el infostealer (método de intrusión que basa su comportamiento en un caballo de troya que roba información del sistema) RedLine y roba sus credenciales.
Por otra parte, el grupo de amenazas Aggah atacó a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) encubiertos como órdenes de compra, infectando los sistemas con troyanos que ganaban acceso remoto. Desde HP señalan que el ‘malware’ de PowerPoint es inusual, ya que representa el 1 por ciento del ‘malware’.
Los resultados del informe se basan en los datos de los muchos millones de ‘endpoints que ejecutan HP Wolf Security. De él también se deprende que las amenazas utilizaron 136 extensiones de archivo diferentes en sus intentos de infectar a las organizaciones, y que el 77 por ciento de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 13 por ciento.
Los archivos adjuntos más utilizados para enviar programas maliciosos fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%). También se destaca que los engaños de ‘phishing’ más comunes estaban relacionados con el Año Nuevo o las transacciones comerciales, como «Pedido», «2021/2022», «Pago», «Compra», «Solicitud» y «Factura».
