ChromeLoader, el nuevo malware que se oculta tras documentos de OneNote

HP ha presentado un nuevo estudio en el que se detallan las nuevas estrategias de los piratas informáticos para atentar contra la seguridad de los equipos de empresas y particulares. La nueva práctica consiste en ocultar programas maliciosos en documentos de OneNote, empleando para ello dominios de confianza que les permitan eludir los controles de macros de Office.

En su informe trimestral HP Wolf Security Threat Insights se recogen unas cifras realmente llamativas. Y es que los clientes de HP Wolf Security han hecho clic en más de 30.000 millones de archivos adjuntos de correos electrónicos, páginas web y elementos descargables sin ningún tipo de infracción. A pesar de todo, hay una nueva tendencia en la que se aprovecha el deseo de los usuarios de descargar películas o videojuegos de sitios web piratas para atacar sus dispositivos.

Los ciberdelincuentes realizan ataques a través del navegador Chrome. La extensión Chrome Shampoo, muy difícil de eliminar, está generalmente distribuyendo un malware denominado ChromeLoader. Éste redirige a los usuarios a sitios web maliciosos o páginas que reportarán beneficios económicos a los hackers mediante campañas publicitarias.

La peculiaridad de este malware es que es muy persistente, pues se reinicia cada 50 minutos gracias al programador de tareas. De igual modo, y basándose en los resultados obtenidos de millones de endpoints que ejecutan HP Wolf Security, los investigadores han concluido que lo atacantes utilizan dominios de confianza para eludir las políticas de macros.

Así pues, HP detectó intentos de ataques que buscaban comprometer una cuenta fiable de Office 365 a partir de la configuración de un nuevo email de la compañía y distribuyendo un archivo de Excel malicioso con el infostealer Formbook.

OneNote, la plataforma para el ransomware

Quizás la principal alerta detectada por los investigadores reside en los documentos OneNote, que actúan como álbumes de recortes digitales para que cualquier archivo se incorpore en su interior. Así pues, en una nota de prensa puede ir inserto un hipervínculo que ejecute automáticamente el malware en el dispositivo. Desde ese preciso instante, los ciberdelincuentes pueden vender toda la información a terceros.

Qakbot e IcedID fueron los primeros grupos en introducir el malware en archivos de OneNote en enero, siendo las previsiones de que continúen en los meses venideros. Y es que los ciberdelincuentes siguen perfeccionando y diversificando sus métodos de ataque para eludir las barreras de seguridad, de ahí que se alejen más de los formatos de Office.

De hecho, el estudio determina que, en el 42% de los casos, los archivos fueron el tipo de entrega de malware más popular por cuarto trimestre consecutivo. Las amenazas de contrabando de HTML aumentaron en un 37% en el primer trimestre de 2023, las de PDF en cuatro puntos y el malware en Excel bajó en 6 puntos (del 19% al 13%). El 14% de las amenazas de correo electrónico identificadas por HP Sure Click eludieron uno o más escáneres de Gateway durante el primer trimestre. Por consiguiente, se puede afirmar que el principal vector de amenazas durante los primeros meses de 2023 fue el correo electrónico (con un 80%) seguido de las descargas del navegador (con un 13%).

Métodos eficientes de defensa

HP recomienda, para protegerse de las amenazas más innovadoras y recientes, que las empresas y usuarios no descarguen material de sitios no fiables o piratas. También que se desconfíe de los documentos internos sospechosos y que se consulte con el remitente antes de abrirlos.

De igual modo, hay que abogar pro configurar las políticas Gateway de correo electrónico y las herramientas de seguridad para bloquear los archivos de OneNote de fuentes externas desconocidas, desde archivos comprimidos maliciosos hasta el contrabando de HTML (HTML smuggling).

Ian Pratt, Responsable Global de Seguridad para Sistemas Personales de HP, asegura que las organizaciones deben seguir principios de confianza cero para aislar y contener actividades de riesgo como la apertura de archivos adjuntos de email o descargar documentos del navegador.

HP Wolf Security ejecuta tareas de riesgo como abrir archivos adjuntos y hacer clic en enlaces en micromáquinas virtuales (micro-VM) con el único objetivo de proteger a sus usuarios. Esa tecnología de aislamiento de aplicaciones de HP mitiga las amenazas que pasan desapercibidas para otras herramientas de seguridad y detecta el comportamiento de los principales actores de amenazas.

La entrada ChromeLoader, el nuevo malware que se oculta tras documentos de OneNote es original de MuySeguridad. Seguridad informática.