El 44 por ciento del malware distribuido durante el tercer trimestre de este año se ha encontrado dentro de archivos comprimidos ZIP y RAR, que se han convertido en los archivos más comunes para distribución de este tipo de 'software' malicioso, hasta el punto de que han superado el número de ataques llevados a cabo a través de archivos Office por primera vez en tres años, según un informe de HP Wolf Security.
El estudio, realizado por la empresa tecnológica estadounidense HP, se ha basado en los datos recopilados de los dispositivos que ejecutan la solución de seguridad HP Wolf Security. Como resultado se han identificado campañas de ataques que combinan el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML.
Para llevar a cabo estos ataques, los ciberdelincuentes incrustan archivos comprimidos maliciosos en otros HTML, de forma que sortean las soluciones de seguridad dospuestas en el correo electrónico, así como el proxy o sandbox, tal y como ha informado HP en un comunicado.
Así, los ataques a través de archivos comprimidos se consolidan como los más comunes de distribución de malware (un 44 por ciento), esto es, un 11 por ciento más que en el trimestre anterior. En base a ello, supera la distribución de contenido malicioso a través de archivos de Office como Microsoft Word, Excel y Power Point (un 32 por ciento).
Hasta ahora, la distribución de virus a través de archivos de Office era el método más común pero, por primera vez en tres años, se han identificado más distribuciones de malware a través de archivos ZIP y RAR.
Un ejemplo de campañas de este estilo son las de QakBot y IceID, en las que los ciberdelincuentes utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos 'online' que se hacían pasar por un programa de Adobe. Tras abrir el documento, se solicitaba a los usuarios pulsar sobre el archivo ZIP y que introdujeran una contraseña para poder descomprimir los archivos. Al hacerlo, el malware se desplegaba en sus equipos.
Para llevar a cabo el ataque, el ciberdelincuente utiliza ingeniería social para engañar al usuario mediante la creación de una página web convincente y bien diseñada. Para ganarse su confianza, de hecho, estos estafadores utilizan páginas falsas de Google Drive, tal y como recoge este informe.
Al respecto, el analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, Alex Holland, ha insistido en que lo interesante de las campañas de QakBot y IceID ha sido el esfuerzo realizado para crear las páginas falsas. "Estas campañas eran más convincentes que las que habíamos visto antes, lo que dificulta que la gente sepa en qué archivos puede confiar y en cuáles no", ha dicho.
Por otra parte, HP también ha puntualizado en este estudio que llegó a identificar una campaña de ataques que funciona mediante el uso de una cadena de infección modular. Este tipo de ataques tienen un carácter complejo, ya que permite a los atacantes cambiar el método de ataque en función del objetivo que haya vulnerado o introducir nuevas características mientras se está ejecutando.
De ese modo, los ciberdelincuentes podrían atacar con spyware para compartir información del usuario a una entidad externa o cambiar a ramsomware y secuestrar datos del usuario, según el objetivo que hayan vulnerado. Además, pueden introducir nuevas características como el geo-fencing, cuya tecnología utiliza la ubicación proporcionada por el GPS y el uso de datos de un dispositivo móvil.
Igualmente, desde la compañía han puntualizado que, al no introducir el malware directamente en el archivo adjunto enviado al objetivo, es más complicado detectar este tipo de ataque.
Hp wolf security
Como solución a estos ataques, el Jefe Global de Seguridad para Sistemas Personales de HP, Ian Pratt, propone el uso de la tecnología de aislamiento de aplicaciones Zero Trust que utiliza HP Wolf Security.
Esta tecnología ejecuta las tareas de riesgo, como la apertura de archivos adjuntos de correo electrónico, la descarga de archivos y el clic en enlaces, en máquinas microvirtuales (micro-VM) aisladas. De esta forma, protege a los usuarios, capturando rastros detallados de los intentos de ataque.
"Las organizaciones pueden utilizar la microvirtualización para asegurarse de que las tareas potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecuten en una máquina virtual desechable separada de los sistemas subyacentes", ha indicado.
Este proceso es «completamente invisible para el usuario» y permite al sistema atrapar "cualquier malware oculto en su interior, asegurando que los atacantes no tengan acceso a los datos sensibles e impidiéndoles acceder y moverse lateralmente", ha explicado Ian Pratt.
Con esta tecnología HP aisla las amenazas en los ordenadores que han eludido las herramientas de detección. Por ello, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Estos datos indican que, hasta la fecha, los clientes de HP han hecho clic en más de 18.000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan registrado infracciones.