Así, al aislar las amenazas que han sido capaces de eludir las soluciones de seguridad basadas en la detección en los PC, HP Wolf Security tiene una visión única de las últimas técnicas utilizadas por los ciberdelincuentes en el cambiante panorama de la ciberdelincuencia.

En concreto, hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 30.000 millones de adjuntos de correos electrónicos, páginas web y archivos descargados sin que se haya informado de ninguna infracción y basándose en los datos de millones de endpoints que ejecutan HP Wolf Security1, los investigadores han descubierto y documentado que:

• La extensión de Chrome Shampoo es difícil de eliminar: una campaña que distribuye el malware ChromeLoader engaña a los usuarios para que instalen una extensión maliciosa de Chrome llamada Shampoo. Puede redirigir las consultas de búsqueda de la víctima a sitios web maliciosos, o a páginas que harán ganar dinero al grupo criminal a través de campañas publicitarias. El malware es muy persistente y utiliza el programador de tareas para reiniciarse cada 50 minutos.
• Los atacantes eluden las políticas de macros utilizando dominios de confianza: aunque las macros de fuentes no confiables ahora están deshabilitadas, HP detectó que algunos intentos de ataque trababan de eludir estos controles comprometiendo una cuenta fiable de Office 365, configurando un nuevo correo electrónico de la compañía y distribuyendo un archivo de Excel malicioso que infecta a las víctimas con el infostealer Formbook.
• Hay que tener cuidado con lo que se oculta en segundo plano: los documentos de OneNote pueden actuar como álbumes de recortes digitales, por lo que cualquier archivo puede adjuntarse dentro. Los atacantes se aprovechan de ello para incrustar archivos maliciosos detrás de falsos iconos de 'haga clic aquí'. Al hacer clic en el icono falso, se abre el archivo oculto y se ejecuta el malware que da a los atacantes acceso al dispositivo del usuario, acceso que luego pueden vender a otros grupos de ciberdelincuentes y bandas de ransomware.

Se ha constatado que grupos sofisticados como Qakbot e IcedID introdujeron por primera vez malware en archivos de OneNote en enero. Ahora que los kits de OneNote están disponibles en los mercados de la ciberdelincuencia y que su uso requiere pocos conocimientos técnicos, parece que sus campañas de malware continuarán en los próximos meses.

“Para protegerse de las amenazas más recientes, aconsejamos a los usuarios y a las empresas que eviten descargar material de sitios no fiables, en particular de los piratas. también hay que desconfiar de los documentos internos sospechosos y consultar con el remitente antes de abrirlos”, recomienda Patrick Schläpfer, analista de malware en el equipo de investigación de amenazas de Wolf Security de HP.

“Las organizaciones han de configurar las políticas de correo electrónico y de las herramientas de seguridad para bloquear los archivos de OneNote procedentes de fuentes externas desconocidas”, concluye.

Principales conclusiones

Desde archivos comprimidos maliciosos hasta el contrabando de HTML (HTML smuggling), el informe también muestra que los grupos de ciberdelincuentes siguen diversificando los métodos de ataque para eludir las puertas de enlace del correo electrónico, a medida que los actores de las amenazas se alejan de los formatos de Office.

En síntesis, las principales conclusiones son:

• Los archivos fueron el tipo de entrega de malware más popular (42 %) por cuarto trimestre consecutivo al examinar las amenazas detenidas por HP Wolf Security en el primer trimestre
• Las amenazas de contrabando de HTML aumentaron un 37 % en el primer trimestre frente al anterior
• Las amenazas relacionadas con PDF aumentaron 4 puntos en el primer trimestre frente
• Se produjo un descenso de 6 puntos en el malware de Excel (del 19 % al 13 %) en el primer trimestre, ya que el formato se ha vuelto más difícil para ejecutar macros
• El 14% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de gateway de correo electrónico en el primer trimestre de 2023
• El principal vector de amenazas en el primer trimestre fue el correo electrónico (80 %), seguido de las descargas del navegador (13 %).

“Para protegerse contra ataques cada vez más variados, las organizaciones deben seguir los principios de tolerancia cero para aislar y contener actividades de riesgo como abrir archivos adjuntos de correo electrónico, hacer clic en enlaces o descargas del navegador. De este modo se reduce en gran medida la superficie de ataque y el riesgo de violación” asegura Dr. Ian Pratt, responsable Global de Seguridad para Sistemas Personales de HP.

Recordemos que HP Wolf Security ejecuta tareas de riesgo como abrir archivos adjuntos de correo electrónico, descargar archivos y hacer clic en enlaces en micromáquinas virtuales (micro-VM) aisladas para proteger a los usuarios, capturando también rastros de los intentos de infección.

La tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que podrían pasar desapercibidas para otras herramientas de seguridad y proporciona información única sobre nuevas técnicas de intrusión y el comportamiento de los actores de las amenazas. Más información en www.hp.com y en www.hp.com/es-es/security/endpoint-security-solutions.html