Agencias/Ciudad de México.- Los ciberdelincuentes están recurriendo a redireccionamientos abiertos, facturas vencidas y técnicas conocidas como ‘Living-off-the-Land’ para eludir la protección de los equipos informáticos y engañar a los usuarios.

Los atacantes utilizan redireccionamientos abiertos para engañar a los usuarios, como se ha detectado en una campaña avanzada de WikiLoader. En ella, se explotaron vulnerabilidades de redireccionamiento abierto en sitios web para evitar la detección y llevar a los usuarios de un sitio web de confianza a otro malicioso.

Este caso se recoge en el informe HP Wolf Security Threat Insights, correspondiente al primer trimestre del año, que analiza los datos de millones de ‘endpoints’ que ejecutan HP Wolf Security para identificar las campañas más destacadas.

En él también se recogen varias campañas que abusaron del servicio de transferencia inteligente en segundo plano (BITS) de Windows, un mecanismo legítimo utilizado por programadores y administradores de sistemas para descargar o subir archivos a servidores web y archivos compartidos.

Se trata de una técnica conocida como Living-off-the-Land’ (LotL), por la que se utilizan programas de confianza en los que introduce código malicioso para acceder a través de una puerta de entrada del sistema sin ser detectados por los programas de seguridad.

HP también ha identificado actores de amenazas que ocultaban ‘malware’ dentro de archivos HTML que se hacían pasar por facturas de entrega y que, una vez abiertos en un navegador web, desencadenaban una cadena de eventos que desplegaban el ‘malware’ de código abierto AsyncRAT.

“Dirigirse a las empresas con señuelos de facturas es uno de los trucos más antiguos, pero todavía puede ser muy eficaz y, por tanto, lucrativo”, ha apuntado el investigador principal de amenazas del equipo de investigación de amenazas de HP Wolf Security, Patrick Schläpfer.

Aparte, el informe también destaca que al menos el 12 por ciento de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de ‘gateway’ de correo electrónico.

Los principales vectores de amenaza en el primer trimestre fueron los archivos adjuntos al correo electrónico (53%), las descargas desde navegadores (25%) y otros vectores de infección, como el almacenamiento extraíble -como las memorias USB- y los archivos compartidos (22%). Al menos el 65 por ciento de las amenazas de documentos se basaban en un ‘exploit’ para ejecutar código, en lugar de macros.

Para el responsable de Servicios Digitales y Seguridad de HP, Carlos Manero, “las técnicas de Living-off-the-Land ponen de manifiesto los fallos fundamentales de confiar únicamente en la detección, dado que los atacantes utilizan herramientas legítimas”, lo que hace que sea las amenazas sean difíciles de detectar “sin arrojar una gran cantidad de falsos positivos perjudiciales”.

Los ciberataques Living off the Land, por tanto, son idóneos para muchos ciberdelincuentes: entran a través de puertas seguras, no despiertan sospechas, complican su identificación y ni siquiera han tenido que crear un archivo malicioso desde cero. Por todo ello, pueden suponer graves consecuencias para las instituciones que los sufran, que deben poner todo de su parte para evitar que entren en acción. Para ello Cytomic recalca que es preciso que diseñen un protocolo integral y no dejar margen posible a la maniobra.

Da tu opinión

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.