¿Cómo gestionas los archivos adjuntos de los correos electrónicos?

Se ha descubierto una nueva campaña de correo electrónico que utiliza archivos PDF

La seguridad del correo electrónico debería ser la máxima prioridad, ya que sigue siendo el principal vector de ataque inicial en las filtraciones de datos, según IBM. A pesar de ello, los ataques sofisticados a través del correo electrónico siguen afectando con eficacia a sus víctimas, aprovechando el factor humano, que ha estado presente en el 82 % de todas las filtraciones registradas este año. Lamentablemente, el mes pasado se ha detectado otra campaña de distribución de malware mediante archivos PDF adjuntos, en la que los piratas informáticos han encontrado una nueva forma de introducir malware en los dispositivos de las víctimas.

Repasemos cómo se llevó a cabo el ataque

La nueva campaña de ciberdelincuencia —descubierta por HP Wolf Security— se aprovechó de la falta de precaución de los usuarios para distribuir el keylogger Snake en dispositivos vulnerables a través de archivos PDF.

Los autores del ataque enviaron primero un correo electrónico con el asunto «Factura de transferencia», para hacer creer a las víctimas que iban a recibir un pago por algún concepto. Al abrir el PDF, Adobe Reader solicitaba al usuario que abriera un documento incrustado —un archivo DOCX— que podía resultar sospechoso, pero también bastante confuso para la víctima, ya que el documento incrustado se llamaba «has been verified». Esto hace que la víctima piense que el lector de PDF ha escaneado el archivo y que está listo para su uso.

Es probable que el archivo de Word contenga una macro que, si se activa, descargará el archivo de texto enriquecido (RTF) desde una ubicación remota y lo ejecutará. A continuación, el archivo intentaría descargar el malware Snake Keylogger.

Para que el ataque tenga éxito, los dispositivos finales afectados deben seguir siendo vulnerables a una determinada falla. Sin embargo, en esta ocasión los atacantes no enviaron el código malicioso, sino que engañaron a la víctima para que lo descargara, eludiendo así las defensas de la pasarela basadas en la detección.

La comunidad de ciberseguridad considera que muchas de las brechas de seguridad se podrían haber evitado. Por ejemplo, la vulnerabilidad actual se identificó en 2017 y la reciente serie de ataques se podría haber evitado si todos los administradores de dispositivos mantuvieran sus sistemas operativos actualizados.

Según el DBIR de Verizon, existen cuatro vías principales de acceso a la información corporativa: las credenciales, el phishing, el aprovechamiento de vulnerabilidades y las redes de bots. Si no se bloquea tan solo uno de estos elementos, se pueden producir intrusiones en la red. En este caso, los atacantes utilizaron dos elementos para llevar a cabo el ataque: una estafa de phishing por correo electrónico muy bien orquestada para engañar a usuarios desprevenidos y el aprovechamiento de una vulnerabilidad para instalar archivos maliciosos.

Medidas de protección de uso común

Dado que la nueva campaña de ciberdelincuencia utilizaba el correo electrónico para distribuir el keylogger Snake a dispositivos vulnerables a través de archivos PDF, las prácticas recomendadas de seguridad no habrían funcionado correctamente por las siguientes razones:

• Los exploits para las vulnerabilidades aparecen en cuestión de días, pero las organizaciones tardan semanas —o meses— en aplicar los parches.
• Las soluciones tradicionales de seguridad del correo electrónico tienen dificultades para prevenir los ataques de día cero, ya que no existen firmas antivirus que permitan detectarlos.
• Sandbox se han impuesto como un método para la detección avanzada de amenazas, pero no resultan adecuadas para el correo electrónico, ya que añaden un tiempo de procesamiento adicional antes de la entrega
• Más allá del impacto negativo en la productividad, algunas amenazas a la seguridad del correo electrónico pueden eludir la detección mediante entornos aislados. En este caso, se aplicaron estos dos métodos:

  
  

  • Acción: ejecución diferida

  Si los hackers quieren asegurarse de que su malware no se ejecute en un entorno de sandbox, otra estrategia habitual consiste en esperar a que el usuario final interactúe. Esto puede ser un clic del ratón, teclear en el teclado o abrir una aplicación concreta; las opciones son prácticamente ilimitadas. Lo importante para el atacante es que las soluciones de sandbox no pueden tener en cuenta estas acciones. Sin esa acción del usuario, las soluciones de sandbox no pueden detectar estos ataques.

  • Troyanos y macros

  Los archivos troyanos son casi tan antiguos como la Grecia clásica, por lo que hay que reconocer que las soluciones antivirus y de sandboxing son capaces de detectar bastantes tipos de ellos. Las soluciones basadas en la detección suelen fallar cuando el malware se oculta en documentos de Microsoft Office con macros habilitadas. El único inconveniente de los ataques basados en macros para los atacantes es que requieren que el usuario final las habilite, por lo que suelen ir acompañados de un ataque de ingeniería social.

La filosofía de confianza cero

Las organizaciones deben partir de la base de que todos los correos electrónicos y archivos adjuntos son maliciosos. Los archivos de productividad habituales, como los documentos de Word o los PDF, pueden estar infectados con malware y ser objeto de ataques de día cero, pero no es realista bloquear el acceso al correo electrónico o a los documentos de Word. Las soluciones antivirus y de sandbox tienen limitaciones a la hora de detectar ataques avanzados. Como hemos visto en el ataque anterior, recurrir únicamente a una protección basada en la detección es, en esencia, un enfoque erróneo. En su lugar, las organizaciones deberían adoptar un enfoque de seguridad de confianza cero con una solución proactiva que trate todos los archivos como maliciosos y los limpie en tiempo real. Dichos archivos adjuntos desinfectados pueden entregarse inmediatamente al usuario, sin obstaculizar así la productividad empresarial, mientras que en segundo plano se dispone de tiempo para un análisis adicional basado en la detección (o dinámico), que, si tiene éxito, puede incluso enviar el archivo original al usuario.

MetaDefender Email Security es una solución de este tipo. Ofrece un enfoque integral para neutralizar archivos adjuntos, cuerpos de mensajes y encabezados, eliminando todo contenido potencialmente malicioso y reconstruyéndolo como un archivo limpio. De este modo, estos archivos son totalmente utilizables y seguros, lo que proporciona una protección adecuada a los usuarios vulnerables frente a los ataques descritos anteriormente.

OPSWAT las organizaciones frente a exploits y contenidos maliciosos sin necesidad de recurrir a la detección. ¡Además, es 30 veces más rápido que la detección mediante entornos aislados!

Si desea obtener más información sobre cómo subsanar las deficiencias en la seguridad del correo electrónico para proteger a su organización frente a amenazas avanzadas, descargue nuestro informe técnico gratuito,«Prácticas recomendadas para Email Security la protección de infraestructuras críticas», o lea más entradas de blog sobre el tema aquí.

Póngase en contacto con OPSWAThoy mismo y pregúntenos cómo podemos ayudarle a mejorar la seguridad de su correo electrónico.