Los investigadores de HP Inc. han emitido un nuevo informe que revela un marcado incremento en la sofisticación de las tácticas de cibercrimen, especialmente en lo que respecta a la ingeniería social y técnicas de evasión. El documento destaca varias campañas en las que los delincuentes han perfeccionado la creación de facturas PDF falsas con una apariencia casi idéntica a la de Adobe Reader. Además, se han descubierto métodos para ocultar códigos maliciosos en datos de imagen y la reutilización de troyanos como Lumma Stealer a través de archivos comprimidos que evaden la detección.
Uno de los aspectos más sorprendentes del informe es el avance en el uso de archivos PDF que simulan ser Adobe Acrobat Reader, incluso incorporando barras de progreso falsas para incrementar la apariencia de legitimidad. Estos archivos contienen un reverse shell incrustado en un archivo SVG, diseñado para brindar acceso remoto a los dispositivos comprometidos. La campaña se centró en regiones donde se habla alemán, empleando geofencing para limitar su exposición y retrasar la detección automática.
Otra táctica identificada es el uso de archivos Microsoft Compiled HTML Help (.CHM) con código malicioso oculto. Estos ejecutan un payload de XWorm en múltiples fases, utilizando comandos PowerShell para eliminar rastros tras ejecutarse, lo que ejemplifica el uso de técnicas LOTL (living-off-the-land).
Pese a recientes operaciones policiales, Lumma Stealer ha resurgido como una de las familias de malware más activas, utilizando archivos IMG y registrando nuevos dominios para mantener su infraestructura.
El informe también demuestra que los archivos comprimidos siguen siendo los favoritos entre los ciberdelincuentes, representando el 40% de las amenazas detectadas. Estos métodos permiten explotar la confianza en programas como WinRAR para infiltrarse sin ser detectados, con un 13% de los correos maliciosos evadiendo al menos un filtro de seguridad.
Expertos de HP como Alex Holland e Ian Pratt sostienen que estas técnicas, al no reinventar pero sí refinar lo existente, presentan un desafío porque su simplicidad las hace efectivas. Pratt subraya la importancia de técnicas de defensa en profundidad, que prioricen el aislamiento y la contención.
Este informe es un recordatorio de que las herramientas de detección por firma o comportamiento anómalo no bastan frente a estas innovaciones maliciosas. Para enfrentar estas amenazas, HP resalta la efectividad de su tecnología Wolf Security, que aísla el malware permitiendo su observación sin riesgo para el sistema.
En conclusión, la constante evolución de técnicas de phishing en PDF, el ocultamiento en imágenes y cadenas LOTL destaca la necesidad de que las empresas tecnológicas mejoren sus estrategias de contención y aislamiento, más allá de la simple detección, para protegerse de daños potencialmente irreparables.
Más información y referencias en Noticias Cloud.
