Informe de WatchGuard Threat Lab revela que han surgido nuevas estrategias de ingeniería social basadas en navegador empleadas por phishers, un aumento en el malware de día cero, un alza en los ataques de living-off-the-land, entre otros.

WatchGuard® Technologies, proveedor de ciberseguridad unificada, presentó su «Informe de Seguridad en Internet correspondiente al primer trimestre del 2023«, en donde detalla las principales tendencias de malware y amenazas de seguridad en redes analizadas por los investigadores del WatchGuard Threat Lab.

Entre los principales hallazgos establecen que los estafadores están aprovechando nuevas estrategias de ingeniería social basadas en navegadores, altas cantidades de malware zero day y un aumento en los ataques que aprovechan los recursos del sistema.

Como ahora los navegadores web tienen más protecciones contra el abuso de ventanas emergentes, informaron, los atacantes han cambiado sus métodos y están utilizando las funciones de notificaciones del navegador para forzar interacciones similares.

Banner-campaña-isométrico-2a

Banner-campaña-isométrico-2b

Banner-campaña-isométrico-c

Banner-campaña-isométrico-d

También destacaron de la lista de dominios maliciosos de este trimestre una nueva actividad relacionada con el envenenamiento SEO. Eso quiere decir que el ciberdelincuente usa técnicas para optimizar una página web para que aparezca en los primeros lugares en los motores de búsqueda.

Asimismo, mencionaron que actores de amenazas de China y Rusia están detrás del 75% de las nuevas amenazas en la lista de los diez primeros malwares del periodo analizado. Tres de las cuatro nuevas amenazas que debutaron en la lista tienen fuertes vínculos con dichos estados, aunque esto no significa necesariamente que sean ataques oficiales de sus gobiernos.

Como ejemplo citaron a la familia de malware Zuzy, que aparece por primera vez en la lista de los diez primeros malwares de este trimestre. Una muestra de Zusy que el Laboratorio de Amenazas encontró se dirige a la población de China con adware que instala un navegador comprometido; luego se utiliza el navegador para secuestrar la configuración de Windows del sistema y como navegador predeterminado.

Según el reporte, hubo un aumento de los ataques de living-off-the-land. El malware ViperSoftX, precisaron, revisado en el análisis de DNS del primer trimestre es un ejemplo de malware que aprovecha las herramientas integradas en los sistemas operativos.

Las amenazas de documentos de Office siguen siendo muy comunes entre el malware más extendido, reveló el reporte. Pero no solo hay una presencia continua de malware basado en Microsoft Office y PowerShell, sino que también han detectado malware de distribución dirigido a sistemas basados en Linux. Una de las nuevas detecciones de malware más frecuentes en el primer trimestre fue justamente un distribuidor dirigido a sistemas basados en Linux.

El 70% de las detecciones, añadieron, son de malware de día cero a través de tráfico web no cifrado, y un 93% fueron a través de tráfico web cifrado. El malware de día cero puede infectar dispositivos IoT, servidores mal configurados y otros dispositivos que no utilizan defensas sólidas, remarcaron, y se ha elevado tres puntos porcentuales en el último trimestre.

“Si bien su protección contra malware de punto final actúa como una red de seguridad, le recomendamos encarecidamente que analice el tráfico cifrado”, señalaron, porque del total de malware, el 96,4% se esconde detrás del cifrado. Esto representa un alza de al menos tres puntos porcentuales frente al cuatro trimestres del 2022.

Con relación al ransomware, el informe destaca una gran cantidad de víctimas publicadas y el descubrimiento de 51 nuevas variantes de ransomware en el primer trimestre de 2023 dentro de su análisis de 852 víctimas publicadas en sitios de extorsión. Varias de ellas eran organizaciones y empresas incluidas en la lista Fortune 500.

En cuanto a las detecciones de ataques de red, reportaron que cayeron un 3,2% frente al trimestre anterior. “Aunque técnicamente es una disminución, nuestros gráficos muestran que nuestra detección de servicios de prevención de intrusiones (IPS) se ha mantenido esencialmente estable en los últimos tres trimestres”, refirieron.

Los 10 principales ataques de red representaron el 57% de todas las detecciones, detallaron, lo que significa que esos diez exploits constituyen una gran mayoría de los ataques que vimos en línea durante el primer trimestre del 2023.