El último Informe de Perspectivas de Amenazas de HP ha revelado un aumento en las campañas maliciosas de CAPTCHA, en las que se engaña a los usuarios para que ejecuten comandos de PowerShell que instalan el troyano de acceso remoto (RAT) Lumma Stealer.

Según HP, estas campañas muestran que los atacantes se están aprovechando de la creciente tolerancia a los clics, lo que ha llevado a los usuarios a pasar por varios obstáculos para autenticarse en línea.

Se dirigía a los usuarios a sitios web controlados por los atacantes y se les solicitaba que completaran una serie de desafíos de autenticación falsos. Esto les obligaba a ejecutar un comando malicioso de PowerShell en su PC que finalmente instalaba el RAT Lumma Stealer.

El Dr. Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP, afirmó: «La autenticación multipaso es ahora la norma, lo que aumenta nuestra tolerancia a los clics». La investigación muestra que los usuarios realizan múltiples pasos a lo largo de una cadena de infección, lo que subraya las deficiencias de la formación en ciberconciencia.

Las organizaciones se encuentran en una carrera armamentística contra los atacantes, una que la IA solo acelerará. Para combatir amenazas cada vez más impredecibles, las organizaciones deben centrarse en reducir su superficie de ataque aislando acciones de riesgo, como hacer clic en elementos que podrían dañarlas. De esta manera, no necesitan predecir el próximo ataque; ya están protegidas, añadió Pratt.

El informe de la empresa reveló que al menos el 11 % de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de puerta de enlace de correo electrónico.

También indicó que los ejecutables fueron el tipo de distribución de malware más popular (43 %), seguidos de los archivos comprimidos (32 %).

En una segunda campaña identificada por HP, los atacantes difundieron una RAT de código abierto, XenoRAT, con funciones de vigilancia avanzadas, como la captura de micrófono y cámara web.

Utilizando técnicas de ingeniería social para convencer a los usuarios de que habilitaran macros en documentos de Word y Excel, los atacantes pudieron controlar dispositivos, extraer datos y registrar las pulsaciones de teclas, lo que demuestra que Word y Excel aún representan un riesgo para la implementación de malware.

HP también detectó que actores de amenazas utilizaban imágenes de Gráficos Vectoriales Escalables (SVG) para distribuir JavaScript malicioso, eludiendo así los mecanismos de detección tradicionales.

De forma predeterminada, los navegadores web renderizan estas imágenes, activando el código incrustado. Esta técnica facilita la implementación de siete cargas útiles, incluyendo RAT y ladrones de información, ofreciendo a los atacantes redundancia y diversas vías de monetización.

Como parte de la cadena de infección, los atacantes también utilizaron scripts de Python ofuscados para instalar el malware. La popularidad de Python, que se ve impulsada por el creciente interés en la IA y la ciencia de datos, lo convierte en un lenguaje cada vez más atractivo para los atacantes para desarrollar malware, ya que su intérprete está ampliamente instalado.

Los datos para el Informe de Perspectivas de Amenazas se recopilaron de clientes de HP Wolf Security que dieron su consentimiento entre octubre y diciembre de 2024.