Netskope revela que las descargas de phishing tuvieron un incremento del 450% en los últimos 12 meses, impulsadas por atacantes que utilizan técnicas de optimización de motores de búsqueda (SEO) para mejorar la posición de archivos PDF maliciosos en los motores de búsqueda populares, incluyendo a Google y Bing. Los hallazgos forman parte de la última edición del informe Cloud and Threat Report: Global Cloud and Malware Trends el Informe sobre Nube y Amenazas de Netskope que examina las descargas de malware que se han producido desde la nube y la web en los últimos doce meses.
Las principales clasificaciones de referentes web contenían algunas tradicionalmente asociadas al malware, en particular shareware/freeware, pero dominadas por categorías menos convencionales. Asimismo, el aumento del uso de motores de búsqueda para entregar malware en los últimos doce meses evidencia lo expertos que se han vuelto algunos atacantes en materia de SEO. Las descargas de malware referidas por los motores de búsqueda fueron predominantemente archivos PDF maliciosos, incluidos muchos CAPTCHA falsos malintencionados que redirigían a los usuarios a sitios web de phishing, correo no deseado, estafas y malware.
El informe de Netskope también revela que, en los últimos doce meses, la mayor parte del malware fue descargado desde la misma región donde se encontraba la víctima, una tendencia creciente que apunta a la progresiva sofisticación de los ciberdelincuentes, que con mayor frecuencia despliegan malware para evitar filtros de geofencing y otras medidas de prevención tradicionales. Un claro ejemplo de esto es Europa con aproximadamente el 75% de las descargas de malware provenientes de la misma región. Los resultados también evidencian que los atacantes tienden a dirigirse a las víctimas ubicadas en una región específica con malware alojado dentro de esa misma región.
Así, en la mayoría de las zonas, la diversidad de las descargas de malware se originó en la misma región que la víctima, aunque en otros casos, procedieron de territorios vecinos. Por término medio, Europa fue el origen del 30% de todas las descargas de programas maliciosos en todas las regiones. De igual modo, el continente registró las mayores descargas de troyanos.
“El malware ya no se limita a las peligrosas categorías web tradicionales. Ahora está al acecho en todas partes, desde las aplicaciones en la nube hasta los motores de búsqueda, poniendo en mayor riesgo a las organizaciones que nunca”, afirma Ray Canzanese, Director de Investigación de Amenazas de Netskope. “Para evitar ser víctimas de estas técnicas de ingeniería social y métodos de ataques dirigidos, los líderes de seguridad deben revisar regularmente su estrategia de protección contra malware y garantizar que se consideren todos los posibles puntos de entrada”.
Principales hallazgos
Basados en un subconjunto de datos de uso anónimos recopilados por la plataforma Netskope Security Cloud, entre otras observaciones del informe destacan:
- Los troyanos siguen demostrando que son efectivos: Los troyanos representan el 77% de todas las descargas de malware de la nube y de la web, ya que los atacantes usan técnicas de ingeniería social para tener un punto de apoyo inicial y entregar una variedad de cargas dañinas para las siguientes etapas, incluyendo puertas traseras, infostealers y ransomware. A nivel mundial no existe una sola familia de troyanos que sea la dominante. Las diez principales representan sólo el 13% de todas las descargas, mientras que el 87% restante proviene de familias menos comunes.
- La nube y la web son la combinación perfecta para un atacante: El 47% de las descargas de malware se originan en aplicaciones en la nube en comparación con el 53% de los sitios web tradicionales, ya que los atacantes continúan utilizando una combinación de nube y web para atacar a sus víctimas.
- Las aplicaciones de almacenamiento en la nube populares continúan siendo la fuente de la mayoría de las descargas de malware en la nube. Otros de los principales referentes de aplicaciones en la nube incluyeron a aplicaciones de colaboración y webmail, desde las que los atacantes pueden enviar mensajes directamente a sus víctimas en muchas formas diferentes, incluidos correos electrónicos, mensajes directos, comentarios y documentos compartidos.
- Los archivos de malware de Microsoft Office han bajado a niveles anteriores a Emotet: Los archivos EXE y DLL representan casi la mitad de todas las descargas de malware ya que los atacantes continúan apuntando a Microsoft Windows, mientras que los archivos maliciosos de Microsoft Office están van a la baja y han vuelto a los niveles anteriores al troyano Emotet. Esto se debe en gran parte las valiosas advertencias proactivas del año pasado y a los controles de seguridad introducidos por proveedores de tecnología como Google y Microsoft.