Aumentan ciberataques con archivos LNK en entornos empresariales

HP ha detectado una nueva oleada de ciberdelincuentes que propaga familias de 'malware' en entornos empresariales recurriendo para ello a los archivos con accesos directos o enlaces (LNK)

HP ha señalado, en su último informe global HP Wolf Security Threat Insights sobre ciberataques en el mundo real, que los ataques más comunes se producen a través de archivos con accesos directos (LNK). De hecho, se han convertido en el método más empleado para amenazar a empresas y compañías.

La compañía tecnológica puntualiza que se ha producido una oleada de ciberataques que tienen por protagonistas familias de ‘malware’ como QakBot, IceID, Emotet y RedLine Stealer, recurriendo para ello archivos con la nomenclatura ‘.lnk’.

Los LNK son archivos de acceso directo de Windows que pueden contener código malicioso y que se utilizan para abusar de las herramientas legítimas de un sistema, así como ejecutar archivos de aplicaciones HTML de Microsoft.

Según HP, los accesos directos están sustituyendo a las macros de Office, ya que requieren demasiada intervención y superación de alertas de riesgo por parte de los usuarios. De ese modo, los accesos directos son una trampa a través de la cual los atacantes engañan a sus víctimas para que infecten sus PCs.

Este acceso a los sistemas empresariales puede utilizarse para robar información relevante de la compañía o bien venderla a grupos de ‘ransomware’, lo que puede dar lugar a violaciones a gran escala.

No resulta extraño entonces que, tras realizar un análisis, HP haya comprobado un aumento del 11 % en los archivos comprimidos que contienen ‘malware’, entre los que destacan los de tipo LNK.

Concretamente, es habitual que los atacantes coloquen archivos de acceso directo en los archivos adjuntos ZIP, con el objetivo de evadir los escáneres de seguridad del correo electrónico en entornos empresariales.

Asimismo, el equipo de investigadores ha detectado creadores de ‘malware’ LNK disponibles para su compra en foros de hackers, lo que facilita que los ciberdelincuentes se decanten por esta técnica de ejecución de código malicioso.

En este sentido, HP Wolf Security ha puntualizado la identificación de varias campañas de ‘phishing’ que utilizaban correos electrónicos que se hacían pasar por servicios postales regionales. Entre ellos, los advertidos en la previa a la Expo 2023 de Doha, cuando los ciberdelincuentes utilizaron el envío de archivos masivos HTML para perpetrar sus ataques.

Por otra parte, HP ha expuesto otro caso en el que los atacantes aprovecharon la fisura creada por la vulnerabilidad de día cero en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT), también denominada ‘Follina’, para distribuir OakBot, Agent Tesla y el troyano de acceso remoto Remcos RAT antes de que estuviera disponible un parche.

Asimismo, se ha identificado una nueva técnica de ejecución que hace se propague el ‘malware’ SVCReady en el ‘shellcode’ oculto en documentos. Esta campaña destaca, precisamente, por la forma inusual en que se distribuye a los PCs.

Crece número de familias de malware

HP ha destacado otras de las conclusiones a las que ha llegado en este análisis y ha puntualizado que los actores de amenazas utilizaron un mayor número de familias de ‘malware’ en sus intentos de infectar a las organizaciones (593 con respecto a las 545 del trimestre anterior).

Asimismo, la compañía tecnológica ha puesto el foco en los nuevos formatos de archivos maliciosos utilizados para eludir la detección, ya que sus datos recopilados apuntan a que el 14 % del ‘malware’ de correo electrónico eludió al menos un escáner de puerta de enlace por e-mail.

HP también ha subrayado que el 69 % de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 17 % de los ciberataques. Asimismo, ha puntualizado que los engaños de phishing más comunes fueron las transacciones como ‘Pedido’, ‘Pago’, ‘Compra’, ‘Solicitud’ y ‘Factura’.

Haga clic en el enlace para suscribirse gratis a nuestro grupo de medios y noticias en Telegram: https://t.me/G_ELSUMARIO_News

Fuente: dpa

Los comentarios están cerrados.