Cuidado con los archivos de acceso directo: la nueva forma de entrada de los cibercriminales

Los ciberdelincuentes no descansan en su búsqueda de nuevas formas de acceder a los ordenadores empresariales. Un nuevo informe de HP que analiza las últimas técnicas del cibercrimen, advierte sobre un auge en las infecciones de malware a través de los archivos de acceso directo o enlaces (aquellos con extensión LNK).

Los LNK están sustituyendo a las macros de Office, por un lado, porque estas últimas requieren de demasiada intervención y superación de alertas de riesgo por parte del usuario, y por otro, porque los accesos directos que van comprimidos en ZIP pueden evadir los escáneres de correo electrónico. 

Según Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, “a medida que las macros descargadas de la web se bloquean por defecto en Office, estamos atentos a los métodos de ejecución alternativos que están probando los ciberdelincuentes. Abrir un acceso directo o un archivo HTML puede parecer inofensivo para un empleado, pero puede suponer un gran riesgo para la empresa".

El informe revela un aumento del 11% en los archivos comprimidos que contienen malware, incluidos los de tipo LNK. Éstos se utilizan para infectar el ordenador y acceder a datos valiosos de la empresa, lo que puede paralizar las operaciones e incurrir en altos costes de recuperación. "Las empresas deben tomar medidas ahora para protegerse contra las técnicas cada vez más utilizadas por los atacantes o quedar expuestas a medida que se generalizan. Recomendamos bloquear inmediatamente los archivos de acceso directo recibidos como archivos adjuntos en el correo electrónico o descargados de la web siempre que sea posible", avisa Holland.

Otras tendencias en el cibercrimen

El estudio de HP también revela otras tácticas que están utilizando los ciberdelincuentes para atacar a las empresas. Una de ellas es el envío masivo de archivos HTML con malware a través de campañas de phishing por correo electrónico que se hacen pasar por servicios postales regionales o grandes eventos, como la Expo 2023 de Doha. 

Otra técnica es el aprovechamiento de la vulnerabilidad zero-day Follina, ubicada en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT) para distribuir QakBot, Agent Tesla y el Remcos RAT (troyano de acceso remoto) antes de que estuviera disponible un parche. Esta vulnerabilidad es peligrosa, advierte el informe, ya que permite a los atacantes ejecutar código arbitrario para desplegar malware y requiere poca interacción del usuario para explotarla.

Asimismo, los cibercriminales están distribuyendo una nueva familia de malware, llamada SVCReady, a través de shellcode oculto en las propiedades de los documentos de Office. El malware está diseñado principalmente para descargar cargas útiles de malware secundarias en los ordenadores infectados tras recopilar información del sistema y realizar capturas de pantalla.

Finalmente, el informe de HP también muestra que el 69% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que el 17% fue a través de las descargas web.

El Dr. Ian Pratt, responsable global de seguridad para sistemas personales de HP, comenta que “los atacantes están probando nuevos formatos de archivos maliciosos o ataques para eludir la detección, por lo que las organizaciones deben prepararse para lo inesperado”. 

“Esto significa adoptar un enfoque arquitectónico de la seguridad de los puntos de acceso, por ejemplo, limitando los vectores de ataque más comunes, como el correo electrónico, los navegadores y las descargas, de modo que las amenazas queden aisladas independientemente de que puedan ser detectadas. Esto eliminará la superficie de ataque para tipos enteros de amenazas, a la vez que dará a la organización el tiempo necesario para coordinar los ciclos de parches de forma segura sin interrumpir los servicios", puntualiza.