Actualmente, las vulnerabilidades en acceso remoto se consolidan como un alto riesgo para el sector empresarial a nivel global. Al menos, esto se reveló en la más reciente edición de la investigación Threat Insights Report, que cada año realiza el área de investigación de HP Inc.
En el documento, se advierte cómo los atacantes están convirtiendo aplicaciones confiables de acceso remoto en puertas traseras para tomar control de dispositivos. Así, dicho reporte revela un panorama cada vez más complejo, donde este malware se disfraza como software.
“Con esta estrategia, ahora los ciberataques no parecen intrusiones ya que se disfrazan de una serie de actividades cotidianas. Que se mezclan con las cargas de trabajo habituales, en las áreas de tecnologías de las organizaciones”, aclaró Alex Holland, investigador principal de Amenazas en HP Security Lab.
Al respecto, el informe sobre vulnerabilidades en acceso remoto de HP Inc destacó que los criminales abusan de herramientas como LogMeIn y ScreenConnect. Las cuales, se distribuyen a través de correos de phishing relacionados, con cierres fiscales y descargas falsas de apps de citas.
Dichas aplicaciones, al ser legítimas permiten a los atacantes mezclarse con las actividades normales de las áreas de TI. Así se mantiene un control persistente sobre todos los equipos comprometidos, además los investigadores identificaron campañas de alta especialización.
“La facilidad con la que herramientas legítimas, se convierten en puntos de entrada resulta alarmante. Ya que al combinar software confiable, con diversas técnicas de ingeniería social vinculadas a eventos, resulta cada vez más difícil de distinguir”, mencionó Patrick Schläpfer, investigador principal de HP Security Lab.
Se deben prevenir las vulnerabilidades en acceso remoto
De hecho los scripts utilizados, cargados de emojis, sugieren un uso creciente en términos de la programación asistida por inteligencia artificial (IA). Esto se conoce como “vibe coding”, otro hallazgo del estudio sobre vulnerabilidad en acceso remoto de HP, es la campaña de ClickFix.
Que consiste en disfrazar malware como archivos de audio, así las víctimas son conducidas a través de captchas realistas en sitios web falsos. Con esto, se desencadena una ejecución de comandos maliciosos, que activan una serie de cargas ocultas todo esto en segundo plano.
“Para proteger el futuro del trabajo y reducir riesgos, las empresas deben limitar privilegios innecesarios, controlar la instalación de software y aislar actividades riesgosas. Como lo son las descargas, así como enlaces desconocidos, ya que la detección tradicional por sí sola no es suficiente”, comentó Holland.
En general, las vulnerabilidades en acceso remoto buscan aprovecharse de la confianza de los usuarios en formatos aparentemente inofensivos. Para evitar todas las señales de alerta tradicionalmente asociadas con el malware, es así como la ciberseguridad debe evolucionar.
Así, las campañas especializadas se dirigen a usuarios que buscan recuperar sus billeteras de criptomonedas pérdidas, con la promesa de ayudar a localizar fondos. Por eso, los atacantes distribuyen falsas herramientas que en realidad buscan robar credenciales y datos sensibles.
“Frente a este panorama, se recomienda limitar privilegios innecesarios y controlar mejor el proceso de instalación de software. Además de aislar actividades riesgosas como descargas y enlaces desconocidos. Así, se puede reducir las superficies de ataque o minimizar el impacto de las campañas sofisticadas”, finalizó Schläpfer.
