Los ataques de malware disminuyeron pero se volvieron más evasivos en el segundo trimestre



La mayoría del malware utilizado en los ataques del último trimestre fue diseñado para evadir las herramientas de detección basadas en firmas, dice WatchGuard.

Un nuevo análisis de la actividad del malware durante el segundo trimestre de este año reveló algunas noticias mixtas para las organizaciones empresariales.

Si bien las detecciones de malware en el segundo trimestre disminuyeron un 8% en comparación con el trimestre anterior, los ataques relacionados con malware que no fueron detectables por los sistemas antivirus basados ​​en firmas aumentaron un 12% durante el mismo trimestre. De hecho, siete de cada 10 ataques que las organizaciones encontraron en el segundo trimestre involucraron malware diseñado para eludir las firmas antivirus.

El proveedor de seguridad WatchGuard analizó recientemente los datos de ataques de malware recopilados de casi 42,000 de sus dispositivos Firebox en ubicaciones de clientes en todo el mundo. Juntos, los dispositivos bloquearon más de 28,5 millones de muestras de malware, lo que representa unas 410 firmas de ataques únicas, un aumento del 15% con respecto al primer trimestre.

Corey Nachreiner, director de tecnología de WatchGuard y coautor del informe, dice que la mayor conclusión del análisis fue el aumento de los ataques que involucran variantes de malware que usaban los llamados «empaquetadores» o «cifradores» para evadir los mecanismos de detección.

Dichas herramientas permiten a los atacantes volver a empaquetar u ofuscar esencialmente el mismo ejecutable de formas ligeramente diferentes cada vez para que pueda usarse una y otra vez contra defensas basadas en firmas.

«Reempaquetar ejecutables solía requerir cierta habilidad», dice Nachreiner. «Sin embargo, se ha bajado el listón» para los ciberdelincuentes, dice.

En la actualidad, hay numerosas herramientas y servicios disponibles en los mercados clandestinos que permiten que incluso los atacantes poco capacitados adquieran variantes sutilmente modificadas de malware conocido anteriormente, a menudo por tan solo 50 a 200 dólares, y las utilicen en nuevos ataques. Qbot, una amenaza que existe desde al menos 2008, es uno de los ejemplos más conocidos de cómo los atacantes siguen reutilizando el mismo malware al modificarlo constantemente para evadir las herramientas basadas en firmas.

Mientras tanto, la disminución del 8% en las detecciones generales de malware en el perímetro empresarial que WatchGuard observó El último trimestre no fue del todo inesperado, dice Nachreiner. Con la mayoría de las organizaciones cambiando a una fuerza laboral en gran parte remota en los últimos meses debido a la pandemia de COVID-19, los ataques a los terminales empresariales también disminuyeron, señaló.

El análisis de WatchGuard también reveló un aumento en los ataques basados ​​en JavaScript en el último trimestre, en comparación con el primer trimestre. Casi una de cada cinco de las muestras de malware que WatchGuard detectó y bloqueó en el segundo trimestre involucró un script de estafa llamado Trojan.Gnaeus. Según WatchGuard, el malware está diseñado para permitir a los atacantes secuestrar el navegador de una víctima y redirigirlo a la fuerza desde el destino previsto a un dominio bajo el command del atacante. Otro malware de JavaScript que llegó a la lista de los 10 principales de WatchGuard el último trimestre fue J.S. PopUnder, una herramienta maliciosa de publicación de anuncios.

Como ha sido el caso desde hace algún tiempo, los atacantes continuaron haciendo un uso intensivo de documentos y archivos de Microsoft Business office para ocultar y distribuir malware. Uno de los ejemplos más prolíficos de este último trimestre fue un troyano XML llamado Abracadabra, que se entregó como un archivo de Excel cifrado con la contraseña predeterminada para los documentos de Excel, «VelvetSweatshop». El cifrado permitió al malware evadir la mayoría de las herramientas de detección, mientras que la contraseña predeterminada permitió que el archivo se descifrara automáticamente cuando se abría y descargar y ejecutar un ejecutable.

«El malware utilizó una técnica interesante para evadir bloques» y fue otro recordatorio de por qué la detección tradicional basada en firmas ya no es suficiente, dice Nachreiner.

El malware sigue siendo una de las principales causas de filtración de datos. Pero el número de infracciones resultantes de infecciones de malware ha ido disminuyendo gradualmente en los últimos años. Según Verizon 2020 Informe de investigaciones de violación de datos (DBIR), solo el 17% de las infracciones que investigó el año pasado estaban relacionadas con malware, en comparación con el 45% que fueron provocadas por piratería externa y el 22% a través de la ingeniería social.

En comparación con 2016, cuando el malware de tipo troyano representó casi el 50% de las infracciones que investigó Verizon, el año pasado la cifra fue de aproximadamente el 6,5%. Gran parte de la disminución tiene que ver con la mejora de las defensas empresariales, que a su vez ha llevado a un aumento en el uso de herramientas de administración legítimas de doble uso y técnicas de vivir de la tierra en los ataques.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary