[31/03/2025] HP Inc. ha publicado el último informe HP Threat Insights, en el que se destaca el creciente uso de pruebas de verificación CAPTCHA falsas que permiten a los actores de amenazas engañar a los usuarios para que se infecten a sí mismos. Según lo señalado en el comunicado de prensa, las campañas muestran que los atacantes están aprovechando la creciente familiaridad de las personas con la realización de múltiples pasos de autenticación en línea, una tendencia que HP denomina "tolerancia a los clics".
"Con el análisis de los ciberataques del mundo real, el informe HP Threat Insights ayuda a las organizaciones a mantenerse al día con las últimas técnicas que los ciberdelincuentes utilizan para evadir la detección y vulnerar los ordenadores”, sostuvo Patrick Schläpfer, investigador principal de amenazas en el HP Security Lab, e indicó que las campañas notables identificadas por los investigadores de amenazas de HP incluyen:
- CAPTCHA Me Si Puedes: A medida que los bots mejoran para eludir los CAPTCHA, la autenticación se ha vuelto más elaborada, lo que significa que los usuarios se han acostumbrado más a pasar por el aro para demostrar que son humanos. Los investigadores de amenazas de HP identificaron varias campañas en las que los atacantes crearon CAPTCHA maliciosos. Se dirigió a los usuarios a sitios controlados por atacantes y se les pidió que completaran una serie de desafíos de autenticación falsa. Las víctimas fueron engañadas para ejecutar un comando malicioso de PowerShell en su PC que finalmente instaló el troyano de acceso remoto (RAT) Lumma Stealer.
- Atacantes capaces de acceder a las cámaras web y micrófonos de los usuarios finales para espiar a las víctimas: En una segunda campaña, los atacantes propagaron una RAT de código abierto, XenoRAT, con funciones de vigilancia avanzadas, como la captura de micrófono y cámara web. Utilizando técnicas de ingeniería social para convencer a los usuarios de que habiliten las macros en documentos de Word y Excel, los atacantes podrían controlar los dispositivos, exfiltrar datos y registrar las pulsaciones de teclas, lo que demuestra que Word y Excel siguen presentando un riesgo para la implementación de malware.
- Scripts de Python utilizados para el contrabando de SVG: Otra campaña muestra cómo los atacantes están entregando código JavaScript malicioso dentro de imágenes de gráficos vectoriales escalables (SVG) para evadir la detección. Estas imágenes se abren de forma predeterminada en los navegadores web y ejecutan el código incrustado para desplegar siete cargas útiles, incluidas RAT y ladrones de información, lo que ofrece oportunidades de redundancia y monetización para el atacante. Como parte de la cadena de infección, los atacantes también utilizaron scripts de Python ofuscados para instalar el malware. La popularidad de Python, que se está viendo impulsada por el creciente interés en la IA y la ciencia de datos, significa que es un lenguaje cada vez más atractivo para que los atacantes escriban malware, ya que su intérprete está ampliamente instalado.
"Un denominador común de estas campañas es el uso de técnicas de ofuscación y antianálisis para ralentizar las investigaciones. Incluso las técnicas de evasión de defensa simples pero efectivas pueden retrasar la detección y la respuesta de los equipos de operaciones de seguridad, lo que dificulta la contención de una intrusión. Mediante el uso de métodos como las llamadas directas al sistema, los atacantes dificultan que las herramientas de seguridad detecten la actividad maliciosa, lo que les da más tiempo para operar sin ser detectadas y comprometer los puntos finales de las víctimas", explicó el ejecutivo.
Al aislar las amenazas que han evadido las herramientas de detección en los PC, pero al permitir que el malware detone de forma segura dentro de contenedores seguros, Schläpfer señaló que HP Wolf Security tiene información específica sobre las últimas técnicas utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 65 mil millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan reportado infracciones.
El informe, que examina los datos del cuarto trimestre del 2024, detalla cómo los ciberdelincuentes continúan diversificando los métodos de ataque para eludir las herramientas de seguridad que dependen de la detección, como:
- Al menos el 11% de las amenazas de correo electrónico identificadas por HP Sure Click pasaron por alto uno o más escáneres de puerta de enlace de correo electrónico.
- Los ejecutables fueron el tipo de entrega de malware más popular (43%), seguido de los archivos de almacenamiento (32%).
"La autenticación de múltiples pasos es ahora la norma, lo que está aumentando nuestra 'tolerancia a los clics'. La investigación muestra que los usuarios tomarán múltiples pasos a lo largo de una cadena de infección, lo que realmente subraya las deficiencias de la capacitación en concientización cibernética. Las organizaciones se encuentran en una carrera armamentista con los atacantes, una carrera que la IA solo acelerará. Para combatir las amenazas cada vez más impredecibles, las organizaciones deben centrarse en reducir su superficie de ataque aislando las acciones arriesgadas, como hacer clic en cosas que podrían dañarlas. De esa manera, no necesitan predecir el próximo ataque; ya están protegidos", finalizó comentando Ian Pratt, director global de Seguridad para Sistemas Personales de HP Inc.
Franca Cavassa, CTOPerú