Ocultar 'malware' en imágenes pixeladas, PDF o archivos IMG: las nuevas técnicas de evasión de los ciberdelincuentes

Expertos en ciberseguridad han alertado sobre nuevas técnicas de 'phishing' adoptadas por actores maliciosos que, para intentar eludir herramientas de seguridad basadas en la detección, integran 'malware' oculto en archivos PDF ultra realistas, imágenes pixeladas o a través de archivos comprimidos IMG.

Ante un panorama delictivo en constante cambio, los actores maliciosos continúan evolucionando sus métodos de engaño tradicionales, como el 'phishing' o el 'living off the land' (LOTL), siendo este último una forma de 'hackeo' en la que se utilizan herramientas y funciones legítimas disponibles en los sistemas para llevar a cabo acciones maliciosas. Todo ello, de cara a evadir los sistemas de detección y comprometer los equipos de sus posibles víctimas.

Concretamente, en sus nuevos métodos, los ciberdelincuentes recurren al uso de "múltiples binarios poco comunes" en una misma campaña, lo que dificulta aún más distinguir entre actividades maliciosas y legítimas, tal y como se desprende del último Informe de Amenazas elaborado por los expertos en seguridad de HP.

Este informe, que incluye datos de abril a junio de este año, revela técnicas identificadas recientemente en campañas de ciberataques, basándose en datos recogidos de millones de 'endpoints' protegidos por el sistema HP Wolf Security, tal y como ha detallado la compañía en un comunicado.

'REVERSE SHELL' EN PDF FALSOS

En este sentido, una de las campañas 'phishing' identificadas se basa en el uso de facturas falsas de Adobe Reader. Concretamente, en esta nueva ola de engaños de ingeniería social, los atacantes trataban de introducir un 'script' conocido como 'reverse shell' en el equipo de las posibles víctimas, con el que consiguen control remoto del dispositivo.

Así, para engañar a los usuarios, este 'script' se incluía en una pequeña imagen SVG que simulaba ser un archivo PDF de Adobe Acrobat Reader y que, incluso, disponía de una barra de carga falsa. De esta manera, al caer en la simulación y abrir el archivo, se activa automáticamente la cadena de infección.

Además, en este tipo de casos analizados por el equipo de HP, los ciberdelincuentes limitaron la descarga del 'script' a regiones de habla alemana, para reducir la exposición y dificultar el análisis automático.

'MALWARE' OCULTO EN IMÁGENES PIXELADAS

Otro de los métodos compartidos por HP es el de ocultar 'malware' en imágenes pixeladas, para lo que los actores maliciosos emplean archivos de ayuda compilada HTML de Microsoft (CHM), logrando esconder código malicioso en los píxeles de las imágenes y disfrazándolas como documentos de proyecto.

De esta manera, los investigadores han señalado que, en determinados casos, los ciberdelincuentes consiguieron entregar una carga útil del troyano de acceso remoto XWorm, que se ejecutaba mediante una cadena de infección por etapas, con múltiples técnicas LOTL.

Siguiendo esta línea, durante el ataque, también se recurrió a la interfaz PowerShell de Microsoft para ejecutar un archivo CMD que eliminaba evidencias tras su descarga y ejecución.

LUMA STEALER EN ARCHIVOS IMG

Finalmente, los expertos en ciberseguridad también han señalado un método por el que los actores maliciosos conseguían instalar el conocido 'malware' de robo de información Lumma Stealer a través de archivos IMG.

Para esta versión de ataque, mediante los archivos comprimidos IMG, empleaban técnicas de LOTL para evadir filtros de seguridad. Así, cabe destacar que, aunque la principal infraestructura de Lumma Stealer fue desarticulada en mayo de este año, las campañas continuaron extendiéndose a junio dado que el grupo registraba nuevos dominios y ampliaba su infraestructura.

Con todo ello, desde HP han subrayado que estos nuevos métodos ponen sobre la mesa las capacidades de creatividad y adaptabilidad que tienen los ciberdelincuentes hoy en día, ocultando código en imágenes, abusando de herramientas confiables del sistema y personalizando ataques dependiendo de la región.

"Los atacantes no están reinventando la rueda, pero sí están refinando sus técnica", ha reflexionado el investigador principal de amenazas en HP Security Lab, Alex Holland, al tiempo que ha detallado que cada vez observan más herramientas LOTL encadenadas y tipos de archivo poco obvios, como las imágenes, para evitar la detección.

"No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto. Es simple, rápido y suele pasar desapercibido por su bajo perfil", ha apostillado Holland.

PROTECCIÓN DE HP WOLF SECURITY

Al respecto, HP ha resaltado la capacidad del sistema HP Wolf Security para aislar estas amenazas que eluden los mecanismos de detección convencionales en PCS, y posteriormente, eliminar el 'malware' en "contenedores seguros". Según los datos compartidos, hasta la fecha, los clientes de este servicio de HP han clicado en más de 55.000 millones de archivos adjuntos de correo electrónico, páginas web y descargas sin reportar brechas de seguridad.

Por otra parte, el informe también refleja cómo los ciberdelincuentes siguen diversificando métodos de ataque para evadir herramientas basadas en detección.

Por ejemplo, el 13 por ciento de las amenazas por correo electrónico identificadas por HP Sure Click, eludieron al menos un escáner de puerta de enlace. Igualmente, los archivos comprimidos fueron el tipo de entrega más común, con un 40 por ciento, seguidos de ejecutables y scripts (35 por ciento).

HP también ha indicado que los archivos '.rar' representaron el 26 por ciento de los ataques. Esto sugiere que los atacantes explotan la confianza en 'softwares' como WinRAR, según ha explicado la compañía.

Con todo, desde HP han subrayado que tratan de asegurar la protección de los usuarios mediante sus sistemas de seguridad, al tiempo que intentan evitar paralizar las labores del usuario. "Es una elección difícil: restringir demasiado y entorpecer al usuario o dejar la puerta abierta y arriesgarse a que un atacante se infiltre", ha reflexionado el jefe global de seguridad para sistemas personales en HP, Ian Pratt.

"Incluso los mejores sistemas de detección fallan a veces; por eso, el enfoque de defensa en profundidad con contención e aislamiento es esencial para atrapar amenazas antes de que causen daño", ha sentenciado.