Tecnología
Tenga cuidado al abrir un PDF: ciberdelincuentes perfeccionan técnicas de phishing para esconder malware en archivos comunes
Los criminales recurren a archivos poco habituales, esconden código malicioso en imágenes y personalizan los ataques según la región.
Expertos en ciberseguridad han advertido sobre el uso de nuevas técnicas de phishing implementadas por actores maliciosos, quienes buscan evadir las herramientas de detección al integrar malware oculto en archivos PDF altamente realistas, imágenes pixeladas o archivos comprimidos en formato IMG.
En un panorama delictivo en constante evolución, los ciberdelincuentes perfeccionan sus métodos tradicionales, como el phishing o el living off the land (LOTL), estrategia que consiste en utilizar herramientas y funciones legítimas de los sistemas para ejecutar acciones maliciosas. Todo ello con el objetivo de evitar la detección y comprometer los equipos de sus víctimas.
De acuerdo con el último informe de amenazas de HP, los atacantes han comenzado a usar “múltiples binarios poco comunes” dentro de una misma campaña, lo que dificulta aún más distinguir entre actividades maliciosas y legítimas. El reporte, que recopila información de abril a junio de este año, se basa en datos extraídos de millones de endpoints protegidos por el sistema HP Wolf Security.
‘Reverse shell’ en PDF falsos
Una de las campañas detectadas consistía en facturas falsas de Adobe Reader. En este caso, los atacantes incluían un script de tipo reverse shell que, al ejecutarse, otorgaba control remoto del dispositivo comprometido.
El código se escondía en una imagen SVG que simulaba ser un archivo PDF de Adobe Acrobat Reader, incluso con una barra de carga falsa. Una vez abierto el archivo, la cadena de infección se activaba automáticamente.
Para reducir la exposición y dificultar el análisis automático, los ciberdelincuentes limitaron la descarga de este script a usuarios de habla alemana.
Así funciona el malware oculto en imágenes pixeladas
Otro método identificado fue el uso de archivos de ayuda compilada HTML de Microsoft (CHM) para ocultar malware en los píxeles de imágenes pixeladas, disfrazadas como documentos de proyectos.
Con esta técnica, los atacantes lograron distribuir el troyano de acceso remoto XWorm, mediante una cadena de infección en varias etapas que utilizaba distintas técnicas LOTL.
En paralelo, recurrieron a la interfaz PowerShell de Microsoft para ejecutar un archivo CMD que eliminaba rastros tras su descarga y ejecución.
‘Lumma Stealer’ en archivos IMG
Los investigadores también identificaron campañas que difundían el malware Lumma Stealer —especializado en robar información— a través de archivos comprimidos en formato IMG.
Aunque su infraestructura principal fue desmantelada en mayo, los atacantes continuaron operando en junio, registrando nuevos dominios y expandiendo su red. En estas campañas también se emplearon técnicas LOTL para evadir filtros de seguridad.
Creatividad criminal y adaptabilidad
Los expertos subrayaron la capacidad de los ciberdelincuentes para ocultar código en imágenes, manipular herramientas legítimas del sistema y personalizar los ataques según la región.
“Los atacantes no están reinventando la rueda, pero sí refinando sus técnicas”, advirtió Alex Holland, investigador principal en HP Security Lab. “Cada vez vemos más herramientas LOTL encadenadas y archivos poco obvios, como imágenes, para evitar la detección. No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto: es rápido, eficaz y pasa desapercibido por su bajo perfil”.
*Con información de Europa Press
