Por primera vez en tres años, los archivos de Microsoft Office ya no son el tipo de archivo más común para la distribución de malware. Eso es según el último informe Threat Insights Report de HP Wolf Security. (se abre en una pestaña nueva) para el tercer trimestre de 2022.
Al analizar los datos de «millones de puntos finales» que ejecutan su solución de seguridad cibernética, HP concluyó que los archivos de almacenamiento (archivos .ZIP y .RAR, por ejemplo) superaron a los archivos de Office para convertirse en la forma más común de distribuir malware.
De hecho, el 44 % de todo el malware entregado en el tercer trimestre de 2022 usó este formato, un 11 % más que en el segundo trimestre. Los archivos de Office, por otro lado, representaron el 32% de todas las distribuciones de malware.
Eludiendo protecciones
HP también descubrió que los archivos de archivo generalmente se combinarían con una técnica de contrabando de HTML, en la que los ciberdelincuentes incrustarían archivos maliciosos en archivos HTML para evitar ser detectados por las soluciones de seguridad de correo electrónico.
“Los archivos son fáciles de cifrar, lo que ayuda a los actores de amenazas a ocultar malware y evadir proxies web, sandboxes o escáneres de correo electrónico”, dijo Alex Holland, analista senior de malware del equipo de investigación de amenazas de HP Wolf Security.
“Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML”.
Holland usó las campañas recientes de QakBot y IceID como ejemplos. En estas campañas, se usaron archivos HTML para dirigir a las víctimas a visores de documentos en línea falsos, y se alentó a las víctimas a abrir un archivo .ZIP y desbloquearlo con una contraseña. Hacerlo infectaría sus terminales con malware.
«Lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas: estas campañas fueron más convincentes que las que habíamos visto antes, lo que dificulta que las personas sepan en qué archivos pueden y en qué no pueden confiar. ”, agregó Holanda.
HP también ha dicho que los ciberdelincuentes evolucionaron sus tácticas para desarrollar “campañas complejas” con una cadena de infección modular.
Esto les permite cambiar el tipo de malware entregado a mitad de la campaña, según la situación. Los delincuentes pueden entregar spyware, ransomware o ladrones de información, todos usando las mismas tácticas de infección.
La mejor manera de protegerse contra estos ataques, dicen los investigadores, es adoptar un enfoque de seguridad Zero Trust.
“Al seguir el principio Zero Trust de aislamiento detallado, las organizaciones pueden usar la microvirtualización para asegurarse de que las tareas potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecuten en una máquina virtual desechable separada de los sistemas subyacentes”, explica. Dr. Ian Pratt, director global de seguridad para sistemas personales de HP.
“Este proceso es completamente invisible para el usuario y atrapa cualquier malware oculto en su interior, asegurándose de que los atacantes no tengan acceso a datos confidenciales y evitando que obtengan acceso y se muevan lateralmente”.