El equipo de investigación de amenazas digitales de HP Wolf Security ha detectado un alto crecimiento de ciberataques ubicados en complementos de archivos Excel. Es una de las principales conclusiones de su último informe global HP Wolf Security Threat Insights,
La información de este documento pone de manifiesto que las amenazas están logrando evadir las herramientas de detección más comunes para colarse en los endpoints de los usuarios. En dicho análisis los expertos de HP Wolf Security han identificado una ola de ataques que utilizan la función de complementos de Excel para la propagación de malware.
Archivos Excel, un acceso para el robo de datos
De este modo, los archivos Excel son una puerta para que los ciberdelincuentes accedan a datos de usuarios y empresas. Es una tendencia que va a más como demuestran los datos del informe de los especialistas. En comparación con el trimestre anterior, se ha multiplicado por seis (+588%) el número de atacantes que utiliza la función de complementos de Microsoft Excel (.xll) para infectar los sistemas, una técnica especialmente peligrosa, ya que basta un solo clic para ejecutar el malware.
El equipo también encontró anuncios de kits de creación de malware basado en complementos de Excel (extensión .xll) y herramientas para su envío (conocidos como droppers) en mercados clandestinos, que facilitan a los hackers sin experiencia el lanzamiento de los ataques.
Por acciones concretas, HP Wolf Security habla de una reciente campaña de spam de QakBot que utilizó archivos de Excel para engañar a los usuarios. El engaño consistía en utilizar cuentas de correo electrónico comprometidas para realizar ataques de tipo hijack (técnica que permite suplantar la identidad creando nuevos correos) utilizando un archivo de Excel (.xlsb) malicioso adjunto. Después de ser enviado por el sistema, QakBot se inyectaba en procesos legítimos de Windows para evitar su detección.
Por otro lado, se han detectado archivos maliciosos de Excel en los que se propagaba el troyano bancario Ursnif en empresas y organizaciones del sector público italiano a través de una campaña de spam malicioso, en la que los atacantes se hicieron pasar por el servicio de mensajería italiano BRT. Las nuevas campañas que propagan el malware Emotet, utilizan ahora también ficheros Excel en lugar de archivos JavaScript o Word.
“Recomendaría a los administradores de la red que configuren las puertas de enlace del correo electrónico para bloquear los archivos adjuntos .xll entrantes, que sólo permitan los complementos firmados por socios de confianza o que deshabiliten por completo los complementos de Excel»
Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, HP Inc.
Otras amenazas además de los archivos Excel
Al margen de las acciones detectadas en archivos Excel, estas son otros de los fraudes digitales que ha detectado HP Wolf Security a nivel global:
- Una campaña de phishing por correo electrónico de MirrorBlast que compartía muchas tácticas, técnicas y procedimientos (TTP) con TA505, un grupo de ciberdelincuentes motivados con un claro objetivo financiero y conocido por sus campañas masivas de malware y por monetizar mediante malware el acceso a los sistemas infectados . El ataque se dirigía a las organizaciones con el troyano de acceso remoto (RAT) FlawedGrace.
- Un servidor falso de la plataforma Discord, que engaña a los usuarios para que descarguen el infostealer (método de intrusión que basa su comportamiento en un caballo de troya que roba información del sistema) RedLine y roba sus credenciales.
- El grupo de amenazas Aggah atacó a organizaciones de habla coreana con archivos maliciosos de complementos de PowerPoint (.ppa) encubiertos como órdenes de compra, infectando los sistemas con troyanos que ganaban acceso remoto. El malware de PowerPoint es inusual, ya que representa el 1% del malware.
A tener en cuenta…
A partir del informe de HP Wolf Security, es muy recomendable ser cautos con el correo electrónico y los archivos adjuntos porque son la principal fuente de origen de ciberataques. Estos datos nos deben poner en situación preventiva:
- El 77% de los programas maliciosos detectados se enviaron por correo electrónico, mientras que las descargas web fueron responsables del 13%.
- Los archivos adjuntos más utilizados para enviar programas maliciosos fueron documentos (29%), archivos (28%), ejecutables (21%) y hojas de cálculo (20%).
- Los engaños de phishing más comunes estaban relacionados con el Año Nuevo o las transacciones comerciales, como «Pedido», «2021/2022», «Pago», «Compra», «Solicitud» y «Factura».