El Portal de las Tecnologías para la Innovación

Los atacantes mejoran su juego con señuelos de facturas en PDF ultrarrealistas, según HP

Fuente:

La investigación de seguridad de HP Wolf muestra que los atacantes encadenan técnicas de explotación agrícola para explotar los puntos débiles de detección.

Noticias destacadas

  • El último informe de HP Threat Insights descubre señuelos de lectores de PDF falsificados y muy pulidos, que muestran cómo los atacantes están perfeccionando el engaño visual para explotar la confianza en las aplicaciones de uso diario.
  • Un informe descubrió que cibercriminales ocultaban código malicioso en datos de imágenes de píxeles para infectar a los usuarios y luego eliminaban la evidencia para cubrir sus huellas.
  • Las investigaciones muestran que los atacantes utilizan una combinación de herramientas “que viven del terreno”, es decir, características integradas en el entorno de Windows, para evadir la detección.

HP Inc. (NYSE: HPQ) publicó hoy su último Informe de Perspectivas sobre Amenazas , que revela cómo las antiguas técnicas de phishing y de «living off-the-land» (LOTL) están evolucionando para eludir las herramientas de seguridad tradicionales basadas en la detección. Las técnicas LOTL, en las que los atacantes utilizan herramientas y funciones legítimas integradas en un ordenador para ejecutar sus ataques, han sido durante mucho tiempo un elemento básico en las herramientas de los actores de amenazas. Sin embargo, los investigadores de amenazas de HP advierten que el creciente uso de múltiples binarios, a menudo poco comunes, en una sola campaña dificulta aún más la distinción entre actividad maliciosa y legítima. 

  • El informe ofrece un análisis de ciberataques reales, lo que ayuda a las organizaciones a mantenerse al día con las últimas técnicas que utilizan los ciberdelincuentes para evadir la detección y vulnerar los ordenadores en el cambiante panorama de la ciberdelincuencia. Basándose en los millones de endpoints que ejecutan HP Wolf Security¹ , las campañas destacadas identificadas por los investigadores de amenazas de HP incluyen:
  • Una factura falsa de Adobe Reader anuncia una nueva ola de señuelos de ingeniería social de alta tecnología: Los atacantes integraron un shell inverso, un script que les otorga control sobre el dispositivo de la víctima. El script estaba incrustado en una pequeña imagen SVG, camuflada como un archivo de Adobe Acrobat Reader muy realista, con una barra de carga falsa incluida, lo que daba la impresión de una carga continua, aumentando las probabilidades de que las víctimas lo abrieran y desencadenaran una cadena de infección. Los atacantes también geolocalizaron la descarga en regiones de habla alemana para limitar la exposición, obstaculizar los sistemas de análisis automatizados y retrasar la detección.
  • Atacantes que ocultan malware en archivos de imagen de píxeles: Los atacantes utilizaron archivos de ayuda HTML compilados de Microsoft para ocultar código malicioso en los píxeles de las imágenes. Los archivos, camuflados como documentos de proyecto, ocultaban una carga útil de XWorm en los datos de píxeles, que posteriormente se extraía y se utilizaba para ejecutar una cadena de infección de varios pasos que implicaba múltiples técnicas LOTL. PowerShell también se utilizó para ejecutar un archivo CMD que eliminaba la evidencia de los archivos una vez descargados y ejecutados.
  • El resurgimiento del ladrón Lumma se propaga a través de archivos IMG: Lumma Stealer fue una de las familias de malware más activas observadas en el segundo trimestre. Los atacantes lo distribuyeron a través de múltiples canales, incluyendo archivos adjuntos de archivos IMG que utilizan técnicas LOTL para eludir los filtros de seguridad y explotar sistemas de confianza. A pesar de las medidas represivas de las fuerzas del orden en mayo de 2025, las campañas continuaron en junio y el grupo ya está registrando más dominios y construyendo infraestructura.

Alex Holland, investigador principal de amenazas del Laboratorio de Seguridad de HP, comenta: «Los atacantes no están reinventando la rueda, pero sí están perfeccionando sus técnicas. El uso de herramientas descentralizadas, los shells inversos y el phishing llevan décadas entre nosotros, pero los actores de amenazas actuales están perfeccionando estos métodos. Observamos una mayor combinación de herramientas descentralizadas y el uso de tipos de archivo menos obvios, como imágenes, para evadir la detección. Tomemos como ejemplo los shells inversos: no es necesario implementar un RAT completo cuando un script simple y ligero puede lograr el mismo efecto. Es simple, rápido y, a menudo, pasa desapercibido debido a su simplicidad». Estas campañas demuestran la creatividad y la capacidad de adaptación de los actores de amenazas. Al ocultar código malicioso en imágenes, abusar de herramientas de sistema de confianza e incluso adaptar los ataques a regiones específicas, dificultan que las herramientas de detección tradicionales detecten las amenazas. Al aislar las amenazas que han eludido las herramientas de detección en los PC, pero que aún permiten que el malware se propague de forma segura dentro de contenedores seguros, HP Wolf Security obtiene información específica sobre las técnicas más recientes utilizadas por los ciberdelincuentes. Hasta la fecha, los clientes de HP Wolf Security han hecho clic en más de 55 000 millones de archivos adjuntos de correo electrónico, páginas web y descargado archivos sin que se hayan reportado filtraciones. El informe, que analiza datos de abril a junio de 2025, detalla cómo los ciberdelincuentes continúan diversificando sus métodos de ataque para eludir las herramientas de seguridad basadas en la detección, como:

  • Al menos el 13% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de puerta de enlace de correo electrónico.
  • Los archivos de almacenamiento fueron el tipo de entrega más popular (40%), seguidos por los ejecutables y los scripts (35%).
  • Los atacantes continúan usando archivos .rar (26%), lo que sugiere que están explotando software confiable como WinRAR para evitar levantar sospechas.

El Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP Inc., comenta: «Las técnicas de gestión de riesgos son notoriamente difíciles para los equipos de seguridad, ya que es difícil distinguir las señales de alerta de las rojas, es decir, la actividad legítima de un ataque. Se está entre la espada y la pared: bloquear la actividad y generar fricción para los usuarios y los tickets para el SOC, o dejarla abierta y arriesgarse a que un atacante se cuele. Incluso la mejor detección puede pasar por alto algunas amenazas, por lo que una defensa exhaustiva con contención y aislamiento es esencial para detener los ataques antes de que puedan causar daños».

Visite el blog de Investigación de Amenazas para consultar el informe.

Buscá noticias

Seleccioná una categoría

Artículos relacionados
Huawei

Huawei presenta su visión de sinergia submarino-terrestre y orquestación óptica-inteligente

Huawei presentó su visión de sinergia submarino-terrestre y orquestación óptica-inteligente. En su debut en Submarine Networks World 2025, el principal evento de comunicaciones submarinas en Singapur, la compañía presentó una solución innovadora y productos estrella diseñados para facilitar la integración y la sinergia eficiente entre las redes submarinas y terrestres.

Continuar leyendo...
Nintendo

¡Despega con Mario en dos aventuras que desafían la gravedad!

¿Listo para explorar los confines del espacio? Super Mario Galaxy™ y Super Mario Galaxy 2 son dos aventuras icónicas de Mario, conocidas por sus plataformas desenfrenadas, sorpresas cósmicas y una banda sonora orquestada y envolvente. (Ah, y un dato curioso: ¡Super Mario Galaxy también fue la primera aparición de Rosalina y los Lumas!)

Continuar leyendo...
Scroll al inicio