HP publicó su más reciente Threat Insights Report, el cual muestra cómo los atacantes están utilizando software confiable, malware disfrazado y señuelos cada vez más creíbles para obtener acceso a los dispositivos de los usuarios. La investigación destaca un desafío creciente tanto para usuarios como para defensores, ya que la actividad maliciosa es cada vez más difícil de distinguir del comportamiento legítimo.
El informe analiza ciberataques reales para ayudar a las organizaciones a mantenerse al día con las técnicas más recientes utilizadas por los ciberdelincuentes para evadir la detección y comprometer computadoras en un entorno de amenazas en constante evolución.
Basado en millones de endpoints protegidos por HP Wolf Security*, los investigadores identificaron las siguientes campañas destacadas:
- Herramientas legítimas de acceso remoto utilizadas como puertas alternativas: Los ciberdelincuentes están aprovechando aplicaciones como LogMeIn y ScreenConnect para tomar control de dispositivos sin generar sospechas. Las campañas comenzaron utilizando correos de phishing relacionados con el cierre del año fiscal y descargas falsas de aplicaciones de escritorio —incluyendo sitios de citas falsos— para convencer a los usuarios de instalar herramientas legítimas de acceso remoto. Estas herramientas son controladas por los atacantes y les permiten mezclarse con la actividad normal de TI mientras obtienen control total sobre los dispositivos.
- Ataques dirigidos a usuarios que intentan recuperar billeteras de criptomonedas perdidas: Los atacantes están distribuyendo falsas herramientas de recuperación de billeteras de criptomonedas bajo la promesa de ayudar a localizar fondos perdidos, cuando en realidad buscan robarlos. Estas herramientas suelen compartirse a través de plataformas de intercambio de código y sitios de descarga de medios. Los scripts, cargados de emojis, parecen haber sido desarrollados mediante “vibe coding” y son capaces de recopilar credenciales, datos de billeteras y del sistema antes de empaquetarlos en archivos comprimidos para su exfiltración.
- Campañas ClickFix ocultan malware en archivos de “audio”: Los responsables de campañas recientes de ClickFix están disfrazando malware como archivos de audio para evitar la detección. Las víctimas son guiadas a través de captchas realistas en sitios web falsos cuidadosamente diseñados. Esto desencadena la ejecución de comandos maliciosos que activan cargas útiles ocultas en segundo plano.
Patrick Schläpfer, Principal Threat Researcher de HP Security Lab, comentó: “Lo que destaca en estas campañas es la facilidad con la que herramientas legítimas de acceso remoto se están convirtiendo en puntos de entrada para los atacantes. Al combinar software confiable con técnicas cuidadosamente diseñadas de ingeniería social, vinculadas a eventos como el cierre del año fiscal, resulta cada vez más difícil distinguir qué es confiable y qué no.”
Al aislar amenazas que lograron evadir las herramientas de detección tradicionales —pero permitiendo que el malware se ejecute de forma segura dentro de contenedores protegidos— HP Wolf Security obtiene visibilidad sobre las técnicas más recientes utilizadas por los ciberdelincuentes.
Hasta la fecha, los clientes de HP Wolf Security han interactuado con más de 60 mil millones de archivos adjuntos de correo electrónico, páginas web y descargas sin que se haya reportado ninguna brecha de seguridad.
- Al menos el 11% de las amenazas por correo electrónico identificadas por HP Sure Click lograron evadir uno o más escáneres de seguridad de correo electrónico.
- Los archivos ejecutables fueron el método más común de distribución de malware (39%), seguidos por archivos comprimidos (38%) y documentos PDF (10%).
- El malware distribuido mediante PDFs aumentó 2%, utilizando señuelos como documentos judiciales y notificaciones de bonos para generar urgencia y fomentar clics.
Alex Holland, Principal Threat Researcher de HP Security Lab, señaló: “Estos ataques no parecen intrusiones; parecen actividades cotidianas. Se mezclan con el trabajo habitual de TI y evitan las señales de alerta tradicionalmente asociadas con el malware. Para proteger el futuro del trabajo y reducir riesgos, las organizaciones deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades riesgosas como descargas y enlaces desconocidos. La detección por sí sola no es suficiente cuando herramientas legítimas se convierten en puertas traseras.”
¿Cuál es el principal hallazgo del último Threat Insights Report de HP?
Los ciberdelincuentes están abusando cada vez más de herramientas legítimas de acceso remoto, descargas falsas y tácticas de ingeniería social altamente convincentes para tomar control de las computadoras de los usuarios, haciendo que la actividad maliciosa parezca comportamiento normal.
¿Cómo están abusando los atacantes de las herramientas legítimas de acceso remoto?
Utilizan aplicaciones confiables como LogMeIn y ScreenConnect como puertas traseras hacia los dispositivos de las víctimas. Los usuarios son convencidos de instalar estas herramientas mediante correos de phishing relacionados con el cierre fiscal o descargas falsas de aplicaciones, incluyendo sitios de citas fraudulentos.
¿Qué otras tácticas identificaron los investigadores de HP?
Detectaron herramientas falsas para recuperar billeteras de criptomonedas diseñadas para robar credenciales y datos, además de campañas ClickFix donde el malware se disfraza como archivos de audio y se distribuye mediante captchas realistas en sitios web falsos.
¿Por qué estos ataques son difíciles de detectar?
Porque suelen parecer actividades legítimas. Las herramientas de acceso remoto son ampliamente utilizadas por equipos de TI, los captchas son familiares para los usuarios y los señuelos relacionados con eventos como el cierre fiscal parecen oportunos y creíbles.
¿Qué pueden hacer las organizaciones para reducir el riesgo?
HP recomienda reducir los privilegios innecesarios de los usuarios, controlar qué software puede instalarse y aislar actividades de riesgo, como descargas, enlaces desconocidos y archivos adjuntos. Los hallazgos también demuestran por qué las organizaciones no deben depender únicamente de las herramientas de detección, especialmente cuando los atacantes utilizan software confiable y flujos de trabajo aparentemente legítimos para obtener acceso a los dispositivos de los usuarios.
