En el mundo del cibercrimen, las técnicas se perfeccionan constantemente, según revela el último informe Threat Insights de HP Inc. Los investigadores han señalado un incremento en el uso de métodos de ingeniería social y de evasión que complican la detección y mitigación de amenazas.
Entre las tácticas más sorprendentes se encuentra la utilización de archivos PDF ultrarrealistas que imitan el software Adobe Acrobat Reader. Estos documentos contienen un reverse shell incrustado en archivos SVG pequeños, permitiendo así que los atacantes obtengan acceso remoto a dispositivos comprometidos. Además, las campañas se limitan geográficamente a regiones de habla alemana, lo que dificulta aún más su detección.
Otra técnica reportada es el uso de archivos CHM de ayuda compilada de Microsoft, donde el código malicioso se esconde dentro de los píxeles de las imágenes. Esta estrategia permite ejecutar el payload de XWorm en múltiples etapas, aprovechando comandos PowerShell combinados con archivos CMD para borrar evidencias después de su ejecución.
Un fenómeno notable es el resurgir del malware Lumma Stealer, que pese a acciones policiales recientes, sigue activo. Los atacantes despliegan este troyano mediante archivos IMG, asegurando su resistencia a través del registro de nuevos dominios.
El informe también destaca que los archivos comprimidos dominan como método de entrega, siendo responsables del 40% de las amenazas detectadas. Los formatos .zip, .rar y .img son particularmente populares, con un 26% específicos de .rar, lo que aprovecha la confianza en herramientas como WinRAR.
A pesar de los esfuerzos implementados en los sistemas de filtrado de correos electrónicos, un 13% de los correos maliciosos evade al menos una barrera de seguridad, evidenciando la sofisticación de estas técnicas de ataque.
Expertos de HP advierten sobre la adaptabilidad de los criminales cibernéticos, quienes continúan perfeccionando técnicas existentes. Alex Holland, del HP Security Lab, menciona que simples técnicas de ejecución aprovechan típicamente archivos no sospechosos y scripts mínimos, lo que los hace particularmente difíciles de detectar. Ian Pratt, responsable de seguridad en HP Personal Systems, subraya la importancia de una defensa en profundidad, destacando el papel del aislamiento y la contención de amenazas.
El reporte sugiere que las defensas basadas únicamente en detección de firmas o comportamiento anómalo son insuficientes para contrarrestar estas amenazas avanzadas. HP refuerza su recomendación del uso de su solución Wolf Security, que aísla el malware en contenedores seguros, permitiendo así una evaluación sin riesgos para el sistema.
Finalmente, el informe enfatiza el reto que las innovaciones en phishing con PDFs realistas, la ocultación de código en imágenes y las cadenas LOTL presentan para la ciberseguridad actual. La estrategia no sólo debe centrarse en la detección, sino en contener y aislar eficazmente antes de que se produzcan daños irreparables.
