Editor Top
El cat-phishing, que utiliza una popular herramienta de transferencia de archivos de Microsoft para convertirse en un parásito de la red, y la facturación falsa se encuentran entre las técnicas notables que los cibercriminales implementaron durante los primeros tres meses de este año, según el informe trimestral HP Wolf Security Threat Insights Report publicado el jueves.
Basado en un análisis de datos de millones de terminales que ejecutan el software de la compañía, el informe encontró que desesperados digitales explotan un tipo de vulnerabilidad de sitios web para usuarios de catphish y los dirigen a ubicaciones malévolas en línea. Los usuarios primero son enviados a un sitio web legítimo y luego redirigidos al sitio malicioso, una táctica que dificulta que el objetivo detecte el cambio.
«Las vulnerabilidades de redireccionamiento abierto pueden ser bastante comunes y fáciles de explotar», señaló Erich Kron, defensor de la concientización sobre la seguridad en saberbe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.
«El poder que hay en ellos recae en la herramienta favorita del cibercriminal, el engaño», dijo a TechNewsWorld. “La redirección abierta permite a los delincuentes utilizar una URL legítima para redirigir a una maliciosa creando el enlace en el mensaje para incluir una parte al final de la URL, que rara vez es revisada por las personas, que lleva al usuario a la URL maliciosa. sitio, incluso si saben lo suficiente como para pasar el cursor sobre el enlace «.
«Si bien la URL del navegador mostrará el sitio al que se redirige a la persona, es menos probable que la víctima lo revise después de creer que ya ha hecho clic en un enlace legítimo», explicó.
«Es común enseñar a las personas a pasar el cursor sobre los enlaces para asegurarse de que parezcan legítimos», agregó, «pero también se les debe enseñar a revisar siempre la URL en la barra del navegador antes de ingresar cualquier información confidencial como contraseñas, PII o números de tarjetas de crédito”.
El correo electrónico sigue siendo el principal mecanismo de entrega de redirecciones basadas en archivos adjuntos, señaló Patrick Harr, director ejecutivo de Barra diagonalSiguienteuna empresa de seguridad de red en Pleasanton, California. «Pero», dijo a TechNewsWorld, «también estamos viendo la entrega de estos archivos adjuntos fuera del correo electrónico en Slack, Teams, Discord y otras aplicaciones de mensajería con nombres de archivos ofuscados que parecen reales».
Explotando BITS
Otro ataque notable identificado en el informe es el uso del Servicio de transferencia inteligente en segundo plano (BITS) de Windows para realizar incursiones de «vivir de la tierra» en los sistemas de una organización. Dado que BITS es una herramienta utilizada por el personal de TI para descargar y cargar archivos, los atacantes pueden utilizarla para evitar la detección.
Ashley Leonard, directora ejecutiva de sentido six, una empresa global de soluciones de seguridad y TI, explicó que BITS es un componente de Windows diseñado para transferir archivos en segundo plano utilizando el ancho de banda de red inactivo. Se usa comúnmente para descargar actualizaciones en segundo plano, lo que garantiza que un sistema se mantenga actualizado sin interrumpir el trabajo o para la sincronización en la nube, lo que permite que las aplicaciones de almacenamiento en la nube como OneDrive sincronicen archivos entre una máquina local y el servicio de almacenamiento en la nube.
«Desafortunadamente, BITS también se puede utilizar de maneras nefastas, como se señala en el informe Wolf HP», dijo Leonard a TechNewsWorld. «Los actores maliciosos pueden utilizar BITS para una serie de actividades: para filtrar datos, para comunicaciones de comando y control o actividades de persistencia, como ejecutar código malicioso para atrincherarse más profundamente en la empresa».
«Microsoft no recomienda deshabilitar BITS debido a sus usos legítimos», dijo, «pero hay formas en que las empresas pueden protegerse contra actores maliciosos que lo explotan». Estos incluyen:
- Utilice herramientas de monitoreo de red para detectar patrones de tráfico BITS inusuales, como grandes cantidades de datos transferidos a servidores externos o dominios sospechosos.
- Configure BITS para permitir que solo aplicaciones y servicios autorizados lo utilicen y bloquee cualquier intento de procesos no autorizados de acceder a BITS.
- Separe los sistemas y datos críticos de áreas menos sensibles de la red para limitar el movimiento lateral de los atacantes en caso de compromiso.
- Mantenga todos los sistemas actualizados con los últimos parches y actualizaciones de seguridad para corregir cualquier vulnerabilidad conocida que los atacantes puedan aprovechar.
- Utilice fuentes de inteligencia sobre amenazas para mantenerse informado sobre las últimas tácticas, técnicas y procedimientos que utilizan los ciberatacantes y ajuste proactivamente los controles de seguridad en consecuencia.
RAT en la factura
El informe de HP Wolf también encontró merodeadores de redes que ocultaban malware dentro de archivos HTML disfrazados de facturas de proveedores. Una vez abiertos en un navegador web, los archivos desencadenan una cadena de eventos que implementan el malware de código abierto AsyncRAT.
«La ventaja de ocultar malware en archivos HTML es que los atacantes dependen de la interacción con su objetivo en la mayoría de los casos», dijo Nick Hyatt, director de inteligencia de amenazas de Punto negro cibernéticoun proveedor de tecnología de respuesta, detección y búsqueda de amenazas, en Ellicott City, Maryland.
«Al ocultar malware en una factura falsa, es probable que un atacante consiga que un usuario haga clic en ella para ver para qué sirve la factura», dijo a TechNewsWorld. «Esto, a su vez, hace que el usuario interactúe y aumenta las posibilidades de lograr un acuerdo exitoso».
Si bien dirigirse a las empresas con señuelos de facturación es uno de los trucos más antiguos que existen, aún puede resultar muy eficaz y lucrativo.
«Los empleados que trabajan en departamentos financieros están acostumbrados a recibir facturas por correo electrónico, por lo que es más probable que las abran», dijo en un comunicado el investigador principal de amenazas de HP Wolf, Patrick Schläpfer. «Si tienen éxito, los atacantes pueden monetizar rápidamente su acceso vendiéndolo a intermediarios ciberdelincuentes o implementando ransomware».
«El creciente panorama de amenazas que plantean los ataques altamente evasivos basados en navegadores es otra razón más por la que las organizaciones deben priorizar la seguridad de los navegadores e implementar medidas proactivas de ciberseguridad», añadió Patrick Tiquet, vicepresidente de seguridad y arquitectura de Seguridad del guardiánuna empresa de almacenamiento en línea y gestión de contraseñas, en Chicago.
El rápido aumento de los ataques de phishing basados en navegadores, especialmente aquellos que emplean tácticas evasivas, resalta la necesidad urgente de una mayor protección”, dijo a TechNewsWorld.
Escáneres de puerta de enlace menos que impermeables
Otro hallazgo del informe fue que el 12% de las amenazas de correo electrónico identificadas por el software de HP Wolf habían pasado por alto uno o más escáneres de puerta de enlace de correo electrónico.
“Los escáneres de puertas de enlace de correo electrónico pueden ser una herramienta útil para eliminar los tipos comunes de amenazas de correo electrónico. Sin embargo, son mucho menos efectivos en ataques más específicos, como el phishing o la caza de ballenas”, observó Kron de KnowBe4.
«Los escáneres de correo electrónico, incluso los que utilizan IA, normalmente buscan patrones o palabras clave o buscan amenazas en archivos adjuntos o URL», continuó. Si los malos actores utilizan tácticas atípicas, los filtros pueden pasarlos por alto”.
«Existe una delgada línea entre filtrar amenazas y bloquear mensajes de correo electrónico legítimos», dijo, «y en la mayoría de los casos, los filtros serán más conservadores y menos propensos a causar problemas al detener comunicaciones importantes».
Reconoció que los escáneres de puertas de enlace de correo electrónico, incluso con sus fallas, son controles de seguridad vitales, pero afirmó que también es fundamental que se enseñe a los empleados cómo detectar e informar rápidamente los ataques que logran pasar.
«Los malos actores se están volviendo creativos al diseñar campañas de correo electrónico que eluden los mecanismos de detección tradicionales», añadió Krishna Vishnubhotla, vicepresidente de estrategia de producto de Zimperiouna empresa de seguridad móvil con sede en Dallas.
«Las organizaciones deben proteger a sus empleados de enlaces de phishing, códigos QR maliciosos y archivos adjuntos maliciosos en estos correos electrónicos en todos los terminales móviles y heredados», dijo.
GIPHY App Key not set. Please check settings