Durante su conferencia anual HP Amplify, HP presentó el más reciente HP Threat Insights Report, revelando cómo los ciberdelincuentes están explotando la creciente “tolerancia al clic” de los usuarios para distribuir malware a través de CAPTCHAs falsos y otras técnicas de ingeniería social.
Según el informe, los atacantes están capitalizando el hecho de que los usuarios están cada vez más habituados a completar múltiples pasos de verificación, una tendencia que HP denomina “click tolerance”.
Campañas maliciosas identificadas
El equipo de HP Wolf Security, que analiza ataques reales en millones de endpoints protegidos, descubrió varias campañas notables:
“CAPTCHA Me If You Can”
Los atacantes redirigen a los usuarios a sitios maliciosos con CAPTCHAs falsos. Al completar estas verificaciones engañosas, los usuarios ejecutan sin saberlo comandos PowerShell que instalan el troyano de acceso remoto Lumma Stealer (RAT).
Riesgos con XenoRAT
Otra campaña utiliza documentos de Word y Excel para convencer a los usuarios de habilitar macros. Al hacerlo, se instala XenoRAT, una herramienta con capacidades de vigilancia avanzada como el acceso a cámaras web y micrófonos, así como registro de teclas y exfiltración de datos.
Ataques con imágenes SVG
Los ciberdelincuentes también están ocultando código JavaScript malicioso en imágenes SVG. Estas se abren automáticamente en navegadores y ejecutan scripts para desplegar hasta siete cargas útiles, incluyendo múltiples RATs y ladrones de información. Además, se utilizan scripts Python ofuscados como parte de la cadena de infección, aprovechando la popularidad del lenguaje.
Obfuscación como técnica evasiva
Según Patrick Schläpfer, investigador principal de HP Security Lab, un elemento común en estas campañas es el uso de técnicas de evasión y ofuscación que ralentizan la detección. Al usar llamadas directas al sistema y otras técnicas, los atacantes pueden operar sin ser detectados por más tiempo, lo que les da ventaja frente a las herramientas de ciberseguridad tradicionales.
HP Wolf Security: protección activa y contención efectiva
HP Wolf Security permite analizar amenazas dentro de contenedores aislados, evitando que el malware afecte directamente al sistema. Gracias a este enfoque, se han analizado más de 65 mil millones de archivos adjuntos, sitios web y descargas sin reportes de violaciones de seguridad.
Entre los hallazgos del informe:
- 11% de las amenazas por correo electrónico identificadas por HP Sure Click evadieron al menos un escáner de gateway de correo.
- Los ejecutables (43%) fueron el tipo más común de malware, seguidos por los archivos comprimidos (32%).
Ian Pratt, jefe global de seguridad de sistemas personales en HP, concluye:
“La autenticación en múltiples pasos es la norma, y eso aumenta nuestra tolerancia al clic. Este informe demuestra que la capacitación en ciberseguridad por sí sola no basta. Las organizaciones deben enfocarse en reducir su superficie de ataque mediante la contención de acciones riesgosas. Así, no necesitan predecir el próximo ataque: ya están protegidas.”
Sobre los datos
Los hallazgos del HP Threat Insights Report corresponden al cuarto trimestre de 2024 y se basan en datos anónimos y consentidos de clientes de HP Wolf Security.
