Este miércoles ya conocida firma HP, informó sobre una nueva oleada de ciberdelincuentes que propagan familias de ‘malware’ en entornos empresariales recurriendo para ello a los archivos con accesos directos o enlaces (los denominados LNK) para distribuir ‘malware’.

Es una de las conclusiones a las que ha llegado en su último informe global HP Wolf Security Threat Insights, que proporciona un análisis de los ciberataques en el mundo real y se centra en los métodos más empleados para amenazar a empresas y compañías.

Concretamente, la compañía tecnológica puntualiza que se ha producido una oleada de ciberataques que tienen por protagonistas familias de ‘malware’ como QakBot, IceID, Emotet y RedLine Stealer, recurriendo para ello archivos con la nomenclatura ‘.lnk’.

Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso y que se utilizan para abusar de las herramientas legítimas de un sistema, así como ejecutar archivos de aplicaciones HTML de Microsoft.

Según HP, los accesos directos están sustituyendo a las macros de Office, ya que requieren demasiada intervención y superación de alertas de riesgo por parte de los usuarios.

De ese modo, los accesos directos son una trampa a través de la cual los atacantes engañan a sus víctimas para que infecten sus PCs. Este acceso a los sistemas empresariales pueden utilizarse para robar información relevante de la compañía o bien venderla a grupos de ‘ransomware’, lo que puede dar lugar a violaciones a gran escala.

No resulta extraño entonces que, tras realizar un análisis, HP haya comprobado un aumento del 11 por ciento en los archivos comprimidos que contienen ‘malware’, entre los que destacan los de tipo LNK.

Concretamente, es habitual que los atacantes coloquen archivos de acceso directo en los archivos adjuntos ZIP, con el objetivo de evadir los escáneres de seguridad del correo electrónico en entornos empresariales. Asimismo, el equipo de investigadores ha detectado creadores de ‘malware’ LNK disponibles para su compra en foros de hackers, lo que facilita que los ciberdelincuentes se decanten por esta técnica de ejecución de código malicioso.

En este sentido, HP Wolf Security ha puntualizado la identificación de varias campañas de ‘phishing’ que utilizaban correos electrónicos que se hacían pasar por servicios postales regionales.

Entre ellos, los advertidos en la previa a la Expo 2023 de Doha, cuando los ciberdelincuentes utilizaron el envío de archivos masivos HTML para perpetrar sus ataques. Por otra parte, HP ha expuesto otro caso en el que los atacantes aprovecharon la fisura creada por la vulnerabilidad de día cero en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT), también denominada ‘Follina’, para distribuir OakBot, Agent Tesla y el troyano de acceso remoto Remcos RAT antes de que estuviera disponible un parche.

Asimismo, se ha identificado una nueva técnica de ejecución que hace se propague el ‘malware’ SVCReady en el ‘shellcode’ oculto en documentos. Esta campaña destaca, precisamente, por la forma inusual en que se distribuye a los PCs.

CRECE EL NÚMERO DE FAMILIAS DE ‘MALWARE’

HP ha destacado otras de las conclusiones a las que ha llegado en este análisis y ha puntualizado que los actores de amenazas utilizaron un mayor número de familias de ‘malware’ en sus intentos de infectar a las organizaciones (593 con respecto a las 545 del trimestre anterior).

Asimismo, la compañía tecnológica ha puesto el foco en los nuevos formatos de archivos maliciosos utilizados para eludir la detección, ya que sus datos recopilados apuntan a que el 14 por ciento del ‘malware’ de correo electrónico eludió al menos un escáner de puerta de enlace por e-mail.

HP también ha subrayado que el 69 por ciento de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 17 por ciento de los ciberataques. Asimismo, ha puntualizado que los engaños de ‘phishing’ más comunes fueron las transacciones como ‘Pedido’, ‘Pago’, ‘Compra’, ‘Solicitud’ y ‘Factura’.

Con Portaltic