Soluciones Integrales de Seguridad

Si todavía no eres cliente y necesitas información sobre nuestros servicios profesionales, consultoría y soluciones de seguridad, asistencia técnica, información sobre partners o cualquier otra duda, ponte en contacto con nosotros.

Si se trata de un Incidente de Seguridad,
te recomendamos que lo hagas vía telefónica

¡Mueren las macros!... y aparecen nuevos vectores de ataque
Los delincuentes informáticos que normalmente distribuían malware a través de archivos adjuntos de phishing con macros maliciosas cambiaron gradualmente de táctica después de que Microsoft Office comenzó a bloquearlos de forma predeterminada, cambiando a nuevos tipos de archivos como archivos adjuntos ISO, RAR y Windows Shortcut (LNK).
Macros
Las macros VBA y XL4 son pequeños programas creados para automatizar tareas repetitivas en las aplicaciones de Microsoft Office, de las que abusan los atacantes para cargar, colocar o instalar malware a través de archivos adjuntos de documentos maliciosos de Microsoft Office enviados en correos electrónicos de phishing.

El motivo del cambio es que Microsoft anunció que terminaría con el abuso masivo del subsistema de Office al bloquear automáticamente las macros de forma predeterminada y dificultar su activación. Aunque a Microsoft le tomó un poco más de tiempo implementar este cambio de Microsoft Office, el bloqueo finalmente entró en vigencia la semana pasada.
Sin embargo, el anuncio inicial por sí solo convenció a los operadores de malware de alejarse de las macros y comenzar a experimentar con métodos alternativos para infectar a las víctimas.

Los delincuentes informáticos abandonan las macros

En un nuevo informe de Proofpoint, los investigadores analizaron las estadísticas de campañas maliciosas entre octubre de 2021 y junio de 2022 e identificaron un cambio claro hacia otros métodos de distribución de carga útil, registrando una disminución del 66 % en el uso de macros.

Al mismo tiempo, el uso de archivos contenedores como ISO, ZIP y RAR ha crecido de manera constante, con un aumento de casi un 175%.
¡Mueren las macros!... y aparecen nuevos vectores de ataque
El uso de archivos LNK se disparó después de febrero de 2022, el momento del anuncio de Microsoft, aumentando un 1675 % en comparación con octubre de 2021, y siendo el arma elegida por diez grupos de amenazas individuales rastreados por Proofpoint.

Se ha informado sobre el uso de archivos LNK por parte de Emotet, Qbot e IcedID, en todos los casos haciéndose pasar por un documento de Word para engañar al destinatario para que lo abra.

Sin embargo, estos archivos de enlace se pueden usar para ejecutar casi cualquier comando que el usuario tenga permiso para usar, incluida la ejecución de scripts de PowerShell que descargan y ejecutan malware desde fuentes remotas.

Finalmente, Proofpoint también observó un aumento significativo en el uso de archivos adjuntos HTML que adoptaron la técnica de contrabando de HTML (HTML smuggling) para colocar un archivo malicioso en el sistema host. Sin embargo, sus volúmenes de distribución continúan siendo pequeños.

El contrabando de HTML (HTML smuggling) es un enfoque que permite a un atacante ocultar la carga útil de los “droppers” en la primera etapa del ataque, a menudo scripts maliciosos codificados e incrustados en archivos adjuntos HTML o páginas web especialmente diseñadas. El atacante aprovecha las características básicas de HTML5 y JavaScript en lugar de explotar una vulnerabilidad o un defecto de diseño en los navegadores web modernos.

Las amenazas evolucionan

Si bien ver que las macros se están conviertiendo en un método obsoleto de distribución de carga útil y la infección inicial es un desarrollo positivo, la amenaza simplemente ha cambiado en lugar de abordarse o reducirse.

La pregunta que necesita respuestas ahora es cómo ese cambio afecta la efectividad de las campañas de malware, ya que convencer a los destinatarios para que abran archivos .DOCX y .XLSX fue mucho más fácil que pedirles que descomprimieran archivos y abrieran archivos cuyos nombres terminan en .LNK.

Además, para eludir la detección por parte del software de seguridad, muchas campañas de phishing ahora protegen con contraseña los archivos adjuntos, lo que agrega otro paso engorroso que debe tomar un objetivo para acceder a los archivos maliciosos.

Desde esa perspectiva, los actores de amenazas que confían en los correos electrónicos de phishing podrían quedarse sin buenas opciones y, como resultado, sus tasas de infección pueden haber disminuido. Finalmente, las soluciones de seguridad de correo electrónico ahora tienen un espectro más reducido de riesgos potenciales para evaluar, lo que mejora sus posibilidades de detectar un archivo peligroso.

Comparte este artículo para mejorar la calidad del blog…

WhatsApp
Facebook
Twitter
LinkedIn
Telegram
Email

Continúa leyendo…

Contenido patrocinado…

Data Center Virtual
Servidores Tier IV situados en España

Completo Data Center Virtual, fácil e intuitivo desde el primer día, sin formación, potente red SDN, almacenamiento a medida, backups y snapshots, monitorización avanzada y mucho más...

AFS Informática como
Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

AFS Informática - Ejercicios de Red Team

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Solicita un

Perito Informático

  • Responsable de los datos: Diego Ariza Cívico (AFS Informática)
  • Finalidad de los datos: El desarrollo de actividades y prestación de información sobre servicios y productos de Diego Ariza Cívico (AFS Informática)
  • Legitimación: Tu consentimiento
  • Almacenamiento de los datos: Base de datos alojada en SiteGround Spain S.L. (UE)
  • Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal
  • Derechos: En cualquir momento puedes acceder, limitar, recuperar y borrar tu información
  • Contacto RGPD: [email protected]

Solicita una reunión gratuita con un experto

¿Has encontrado lo que buscabas?

Si no lo has encontrado, solicita GRATIS una reunión con un asesor