HP: ¿Quién tiene el control remoto? Los atacantes están convirtiendo herramientas legítimas de acceso remoto en puertas alternativas
HP Inc. (NYSE: HPQ) publicó su más reciente Threat Insights Report, el cual muestra cómo los atacantes están utilizando software confiable, malware disfrazado y señuelos cada vez más creíbles para obtener acceso a los dispositivos de los usuarios. La investigación destaca un desafío creciente tanto para usuarios como para defensores, ya que la actividad maliciosa es cada vez más difícil de distinguir del comportamiento legítimo.
El informe analiza ciberataques reales para ayudar a las organizaciones a mantenerse al día con las técnicas más recientes utilizadas por los ciberdelincuentes para evadir la detección y comprometer computadoras en un entorno de amenazas en constante evolución.
Basado en millones de endpoints protegidos por HP Wolf Security*, los investigadores identificaron las siguientes campañas destacadas:
Herramientas legítimas de acceso remoto utilizadas como puertas alternativas: Los ciberdelincuentes están aprovechando aplicaciones como LogMeIn y ScreenConnect para tomar control de dispositivos sin generar sospechas. Las campañas comenzaron utilizando correos de phishing relacionados con el cierre del año fiscal y descargas falsas de aplicaciones de escritorio —incluyendo sitios de citas falsos— para convencer a los usuarios de instalar herramientas legítimas de acceso remoto. Estas herramientas son controladas por los atacantes y les permiten mezclarse con la actividad normal de TI mientras obtienen control total sobre los dispositivos.
Ataques dirigidos a usuarios que intentan recuperar billeteras de criptomonedas perdidas: Los atacantes están distribuyendo falsas herramientas de recuperación de billeteras de criptomonedas bajo la promesa de ayudar a localizar fondos perdidos, cuando en realidad buscan robarlos. Estas herramientas suelen compartirse a través de plataformas de intercambio de código y sitios de descarga de medios. Los scripts, cargados de emojis, parecen haber sido desarrollados mediante “vibe coding” y son capaces de recopilar credenciales, datos de billeteras y del sistema antes de empaquetarlos en archivos comprimidos para su exfiltración.
Campañas ClickFix ocultan malware en archivos de “audio”: Los responsables de campañas recientes de ClickFix están disfrazando malware como archivos de audio para evitar la detección. Las víctimas son guiadas a través de captchas realistas en sitios web falsos cuidadosamente diseñados. Esto desencadena la ejecución de comandos maliciosos que activan cargas útiles ocultas en segundo plano.
Patrick Schläpfer, Principal Threat Researcher de HP Security Lab, comentó: “Lo que destaca en estas campañas es la facilidad con la que herramientas legítimas de acceso remoto se están convirtiendo en puntos de entrada para los atacantes. Al combinar software confiable con técnicas cuidadosamente diseñadas de ingeniería social, vinculadas a eventos como el cierre del año fiscal, resulta cada vez más difícil distinguir qué es confiable y qué no.”
Al aislar amenazas que lograron evadir las herramientas de detección tradicionales —pero permitiendo que el malware se ejecute de forma segura dentro de contenedores protegidos— HP Wolf Security obtiene visibilidad sobre las técnicas más recientes utilizadas por los ciberdelincuentes.
Hasta la fecha, los clientes de HP Wolf Security han interactuado con más de 60 mil millones de archivos adjuntos de correo electrónico, páginas web y descargas sin que se haya reportado ninguna brecha de seguridad.
Al menos el 11% de las amenazas por correo electrónico identificadas por HP Sure Click lograron evadir uno o más escáneres de seguridad de correo electrónico.
Los archivos ejecutables fueron el método más común de distribución de malware (39%), seguidos por archivos comprimidos (38%) y documentos PDF (10%).
El malware distribuido mediante PDFs aumentó 2%, utilizando señuelos como documentos judiciales y notificaciones de bonos para generar urgencia y fomentar clics.
Alex Holland, Principal Threat Researcher de HP Security Lab, señaló: “Estos ataques no parecen intrusiones; parecen actividades cotidianas. Se mezclan con el trabajo habitual de TI y evitan las señales de alerta tradicionalmente asociadas con el malware. Para proteger el futuro del trabajo y reducir riesgos, las organizaciones deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades riesgosas como descargas y enlaces desconocidos. La detección por sí sola no es suficiente cuando herramientas legítimas se convierten en puertas traseras.”