ChromeLoader, malware que se oculta en documentos de OneNote

HP ha presentado un nuevo estudio en el que se detallan las nuevas estrategias de los delincuentes informáticos para atentar contra la seguridad de los equipos de empresas y particulares. La nueva práctica consiste en ocultar programas maliciosos en documentos de OneNote, empleando para ello dominios de confianza que les permitan eludir los controles de macros de Office.

En su informe trimestral HP Wolf Security Threat Insights se recogen unas cifras realmente llamativas. Y es que los clientes de HP Wolf Security han hecho clic en más de 30.000 millones de archivos adjuntos de correos electrónicos, páginas web y elementos descargables sin ningún tipo de infracción. A pesar de todo, hay una nueva tendencia en la que se aprovecha el deseo de los usuarios de descargar películas o videojuegos de sitios web delincuentes para atacar sus dispositivos.

Los ciberdelincuentes realizan ataques a través del navegador Chrome. La extensión Chrome Shampoo, muy difícil de eliminar, está generalmente distribuyendo un malware denominado ChromeLoader. Éste redirige a los usuarios a sitios web maliciosos o páginas que reportarán beneficios económicos a los hackers mediante campañas publicitarias.

La peculiaridad de este malware es que es muy persistente, pues se reinicia cada 50 minutos gracias al programador de tareas. De igual modo, y basándose en los resultados obtenidos de millones de endpoints que ejecutan HP Wolf Security, los investigadores han concluido que lo atacantes utilizan dominios de confianza para eludir las políticas de macros.

Así pues, HP detectó intentos de ataques que buscaban comprometer una cuenta fiable de Office 365 a partir de la configuración de un nuevo email de la compañía y distribuyendo un archivo de Excel malicioso con el infostealer Formbook.

OneNote, la plataforma para el ransomware

Quizás la principal alerta detectada por los investigadores reside en los documentos OneNote, que actúan como álbumes de recortes digitales para que cualquier archivo se incorpore en su interior. Así pues, en una nota de prensa puede ir inserto un hipervínculo que ejecute automáticamente el malware en el dispositivo. Desde ese preciso instante, los ciberdelincuentes pueden vender toda la información a terceros.

Qakbot e IcedID fueron los primeros grupos en introducir el malware en archivos de OneNote en enero, siendo las previsiones de que continúen en los meses venideros. Y es que los ciberdelincuentes siguen perfeccionando y diversificando sus métodos de ataque para eludir las barreras de seguridad, de ahí que se alejen más de los formatos de Office.

De hecho, el estudio determina que, en el 42% de los casos, los archivos fueron el tipo de entrega de malware más popular por cuarto trimestre consecutivo. Las amenazas de HTML Smuggling aumentaron en un 37% en el primer trimestre de 2023, las de PDF en cuatro puntos y el malware en Excel bajó en 6 puntos (del 19% al 13%).

El 14% de las amenazas de correo electrónico identificadas eludieron uno o más escáneres de Gateway durante el primer trimestre. Por consiguiente, se puede afirmar que el principal vector de amenazas durante los primeros meses de 2023 fue el correo electrónico (con un 80%) seguido de las descargas del navegador (con un 13%).

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín