Conclusiones clave
- Los atacantes detrás de un malware que roba contraseñas están utilizando métodos innovadores para que las personas abran correos electrónicos maliciosos.
- Los atacantes usan la bandeja de entrada pirateada de un contacto para insertar archivos adjuntos cargados de malware en las conversaciones de correo electrónico en curso.
-
Los investigadores de seguridad sugieren que el ataque subraya el hecho de que las personas no deben abrir archivos adjuntos a ciegas, incluso los de contactos conocidos.
Puede parecer extraño cuando tu amigo inicia una conversación por correo electrónico con un archivo adjunto que esperabas a medias, pero dudar de la legitimidad del mensaje podría salvarte de malware peligroso.
Los detectives de seguridad de Zscaler han compartido detalles sobre los actores de amenazas que utilizan métodos novedosos en un intento de eludir la detección, para hacer circular un potente malware de robo de contraseñas llamado Qakbot. Los investigadores de ciberseguridad están alarmados por el ataque, pero no sorprendidos por el perfeccionamiento de sus técnicas por parte de los atacantes.
"Los ciberdelincuentes actualizan constantemente sus ataques para tratar de evitar la detección y, en última instancia, lograr sus objetivos", dijo a Lifewire Jack Chapman, vicepresidente de Threat Intelligence en Egress, por correo electrónico. "Entonces, incluso si no sabemos específicamente qué intentarán a continuación, sabemos que siempre habrá una próxima vez, y que los ataques evolucionan constantemente".
Hacker amistoso del vecindario
En su publicación, Zscaler analiza las diversas técnicas de ofuscación que emplean los atacantes para que las víctimas abran su correo electrónico.
Esto incluye el uso de nombres de archivo atractivos con formatos comunes, como. ZIP, para engañar a las víctimas para que descarguen archivos adjuntos maliciosos.
La ofuscación del malware ha sido una táctica popular durante muchos años, compartió Chapman, diciendo que han visto ataques ocultos en numerosos tipos de archivos diferentes, incluidos PDF y todos los tipos de documentos de Microsoft Office.
"Los ciberataques sofisticados están diseñados para tener la mejor oportunidad posible de alcanzar sus objetivos", dijo Chapman.
Curiosamente, Zscaler señala que los archivos adjuntos maliciosos se insertan como respuestas en hilos de correo electrónico activos. Una vez más, a Chapman no le sorprende la sofisticada ingeniería social que está en juego en estos ataques. "Una vez que el ataque ha llegado al objetivo, el ciberdelincuente necesita que tomen medidas; en este caso, abrir el archivo adjunto del correo electrónico", compartió Chapman.
Keegan Keplinger, líder de investigación e informes en eSentire, que detectó y bloqueó una docena de incidentes de la campaña Qakbot solo en junio, también señaló el uso de bandejas de entrada de correo electrónico comprometidas como un aspecto destacado del ataque.
"El enfoque de Qakbot pasa por alto las verificaciones de confianza humana, y es más probable que los usuarios descarguen y ejecuten la carga útil, pensando que proviene de una fuente confiable", dijo Keplinger a Lifewire por correo electrónico.
Adrien Gendre, director de tecnología y producto de Vade Secure, señaló que esta técnica también se usó en los ataques de Emotet de 2021.
"Los usuarios suelen estar capacitados para buscar direcciones de correo electrónico falsificadas, pero en un caso como este, inspeccionar la dirección del remitente no sería útil porque es una dirección legítima, aunque comprometida", dijo Gendre a Lifewire en un discusión por correo electrónico.
La curiosidad mató al gato
Chapman dice que además de aprovechar la relación preexistente y la confianza construida entre las personas involucradas, el uso de tipos de archivos y extensiones comunes por parte de los atacantes hace que los destinatarios sean menos sospechosos y más propensos a abrir estos archivos adjuntos.
Paul Baird, director técnico de seguridad del Reino Unido en Qualys, señala que aunque la tecnología debería bloquear este tipo de ataques, algunos siempre se filtrarán. Sugiere que mantener a las personas al tanto de las amenazas actuales en un idioma que entiendan es la única manera de frenar la propagación.
"Los usuarios deben tener cuidado y estar capacitados, ya que incluso una dirección de correo electrónico confiable puede ser maliciosa si se ve comprometida", coincidió Gendre. "Esto es especialmente cierto cuando un correo electrónico incluye un enlace o un archivo adjunto".
Gendre sugiere que las personas deben leer cuidadosamente sus correos electrónicos para asegurarse de que los remitentes son quienes dicen ser. Señala que los correos electrónicos enviados desde cuentas comprometidas suelen ser breves y directos con solicitudes muy contundentes, lo que es una buena razón para marcar el correo electrónico como sospechoso.
Además, Baird señala que los correos electrónicos enviados por Qakbot normalmente se escribirán de manera diferente en comparación con las conversaciones que suele tener con sus contactos, lo que debería servir como otra señal de advertencia. Antes de interactuar con cualquier archivo adjunto en un correo electrónico sospechoso, Baird sugiere que se conecte con el contacto utilizando un canal separado para verificar la autenticidad del mensaje.
"Si recibe algún correo electrónico [con] archivos [que] no espera, entonces no los mire", es el simple consejo de Baird. "La frase 'La curiosidad mató al gato' se aplica a todo lo que recibes por correo electrónico".
