Dado que las macros de Office ya no son la mejor manera de entregar cargas útiles maliciosas a puntos finales (opens in a new tab) en todo el mundo, los ciberdelincuentes están recurriendo a nuevas estrategias, incluido el uso de archivos de acceso directo (.lnk) .

Los hallazgos de HP Wolf Security basados ​​en datos de millones de terminales indican que hubo un aumento del 11 % en los archivos comprimidos que contienen malware, incluidos los archivos .lnk, en comparación con el trimestre anterior. A veces, los piratas informáticos colocan estos accesos directos en archivos .zip antes de enviarlos, para evitar que los detecten las soluciones antivirus (se abre en una nueva pestaña) o las medidas de protección del correo electrónico.

Hay dos cosas clave acerca de los archivos de acceso directo que los convierten en un arma ideal para distribuir malware (opens in a new tab): pueden diseñarse para ejecutar casi cualquier archivo y pueden tener cualquier ícono preinstalado con Windows. Dicho esto, los piratas informáticos pueden asignarle el icono de un archivo .pdf y hacer que ejecute un archivo .exe, .log o .dll, que podría cargar casi cualquier virus. En algunos casos, los piratas informáticos incluso harían un uso indebido de las aplicaciones legítimas de Windows, como la vieja y buena calculadora, para sus nefastos propósitos.

Distribuir RedLine Thief

Principalmente, afirma el informe, los actores de amenazas usan archivos de acceso directo para propagar QakBot, IceID, Emotet y RedLine Stealer. También están abusando de la vulnerabilidad de día cero de Follina (CVE-2022-30190), agregaron los investigadores.

«Si bien las macros descargadas de la web están bloqueadas de forma predeterminada en Office, supervisamos de cerca los métodos de ejecución alternativos probados por los ciberdelincuentes. Abrir un acceso directo o un archivo HTML puede parecer inofensivo para un empleado, pero puede representar un riesgo importante para el negocio», dice Alex. Holland, analista sénior de malware, equipo de investigación de amenazas de seguridad de HP Wolf, HP Inc.

“Las organizaciones deben tomar medidas ahora para protegerse contra las técnicas que los atacantes prefieren cada vez más o exponerse a medida que se vuelven omnipresentes. Recomendamos que bloquee inmediatamente los archivos de acceso directo recibidos como archivos adjuntos de correo electrónico o descargados de la web cuando sea posible. »

Además de los archivos .lnk, Holland también menciona los archivos HTML. La empresa ha identificado algunas campañas de phishing en las que los actores malintencionados se hacen pasar por los servicios postales regionales y utilizan archivos HTML para propagar malware. Estos archivos ocultan bien los tipos maliciosos que, de otro modo, serían detectados por las puertas de enlace de correo electrónico y los servicios de protección contra malware.

faasoa atu lenei