Nuevas tendencias de ingeniería social basada en navegadores

Tres de las cuatro nuevas amenazas de malware en el top-ten del primer trimestre se originaron en China y Rusia.

WatchGuard Technologies, líder global en ciberseguridad unificada, ha presentado los resultados de su último Informe de Seguridad en Internet, que detalla las principales tendencias de malware y amenazas de seguridad de red y endpoint analizadas por los investigadores de WatchGuard Threat Lab en el primer trimestre de 2023.

Las principales conclusiones de los datos revelan que los phishers aprovechan las estrategias de ingeniería social basadas en navegadores, la existencia de nuevo malware vinculado a estados-nación, grandes cantidades de malware zero-day, un aumento de los ataques "living-off-the-land" y mucho más. Esta edición del informe también incluye una nueva sección dedicada al seguimiento y análisis trimestral del ransomware por parte del equipo del Laboratorio de Amenazas.

"Las organizaciones necesitan prestar una atención más activa y continua a las soluciones y estrategias de seguridad existentes en las que confían sus negocios para mantenerse protegidas frente a amenazas cada vez más sofisticadas", afirma Corey Nachreiner, CSO de WatchGuard. "Los temas principales y las mejores prácticas correspondientes que nuestro Threat Lab ha esbozado para este informe enfatizan fuertemente las defensas de malware en capas para combatir los ataques living-off-the-land, lo que se puede hacer de manera sencilla y eficaz con una plataforma de seguridad unificada a cargo de proveedores de servicios gestionados”.

Entre sus conclusiones más destacadas, el Informe de Seguridad en Internet del Q1 de 2023 revela:

•    Nuevas tendencias de ingeniería social basadas en el navegador - Ahora que los navegadores web tienen más protecciones que evitan el abuso de ventanas emergentes, los atacantes han pasado a utilizar las funciones de notificaciones del navegador para forzar tipos de interacciones similares. En la lista de los principales dominios maliciosos de este trimestre también destaca un nuevo destino relacionado con la actividad de envenenamiento SEO.

•    Actores de amenazas de China y Rusia detrás del 75% de las nuevas amenazas en la lista Top-10 del primer trimestre - Tres de las cuatro nuevas amenazas que debutaron en nuestra lista de los diez principales malware de este trimestre tienen fuertes vínculos con estados-nación, aunque esto no significa necesariamente que esos actores maliciosos estén de hecho patrocinados por el estado. Un ejemplo del último informe de WatchGuard es la familia de malware Zusy, que aparece por primera vez en la lista de los diez principales malware de este trimestre. Una de las muestras de Zusy encontradas por el Threat Lab se dirige a la población china con adware que instala un navegador infectado; el navegador se utiliza entonces para secuestrar la configuración de Windows del sistema y como navegador predeterminado.

•    Persistencia de los ataques contra productos de Office, fin de la vida útil (EOL) del firewall ISA de Microsoft - Los analistas del Threat Lab siguen observando amenazas basadas en documentos y dirigidas contra productos de Office en la lista de programas maliciosos más extendidos este trimestre. En cuanto a la red, el equipo también observó que el firewall de Microsoft, Internet Security and Acceleration (ISA) Server, ya descatalogado, recibía un número relativamente alto de ataques. Teniendo en cuenta que este producto lleva mucho tiempo descatalogado y sin actualizaciones, resulta sorprendente que los atacantes lo tengan como objetivo.

•    Aumentan los ataques living-off-the-land - El malware ViperSoftX revisado en el análisis DNS del primer trimestre es el último ejemplo de malware que aprovecha las herramientas integradas en los sistemas operativos para completar sus objetivos. La continua aparición de malware basado en Microsoft Office y PowerShell en estos informes trimestre tras trimestre subraya la importancia de una protección de los endpoints que pueda diferenciar el uso legítimo del malicioso de herramientas populares como PowerShell.

•    Droppers de malware dirigidos a sistemas basados en Linux - Uno de los nuevos malware más detectados por volumen en el primer trimestre fue un dropper de malware dirigido a sistemas basados en Linux. Un claro recordatorio de que el hecho de que Windows reine en el espacio empresarial no significa que las organizaciones puedan permitirse hacer la vista gorda ante Linux y macOS. Asegúrese de incluir máquinas que no sean Windows cuando despliegue Endpoint Detection and Response (EDR) para mantener una cobertura completa de su entorno.

•    El malware de día cero es responsable de la mayoría de las detecciones - Este trimestre, el 70% de las detecciones procedían de malware de día cero en el tráfico web sin cifrar, y la friolera del 93% de las detecciones de malware de día cero en el tráfico web cifrado. El malware de día cero puede infectar dispositivos IoT, servidores mal configurados y otros dispositivos que no utilizan defensas robustas basadas en host como WatchGuard EPDR (Endpoint Protection Defense and Response).

•    Nuevas perspectivas basadas en datos de seguimiento de ransomware - En Q1 de 2023, el Threat Lab contabilizó 852 víctimas publicadas en sitios de extorsión y descubrió 51 nuevas variantes de ransomware. Estos grupos de ransomware siguen publicando víctimas a un ritmo alarmantemente alto; algunas son organizaciones y empresas muy conocidas que figuran en la lista Fortune 500. (Permanezca atento a más tendencias y análisis de rastreo de ransomware como parte de la investigación trimestral del Threat Lab de WatchGuard en futuros informes).