- El software legítimo es ahora el arma más peligrosa en el arsenal de un hacker, advirtió HP
- Los correos electrónicos de phishing con fecha límite de impuestos están abriendo puertas que los escáneres de seguridad nunca detectan
- Las descargas de aplicaciones de citas falsas brindan instantáneamente a los atacantes acceso remoto completo
Los expertos advierten que los ciberdelincuentes están explotando aplicaciones legítimas de acceso remoto como LogMeIn y ScreenConnect para tomar el control de los dispositivos de las víctimas sin activar las advertencias de seguridad estándar.
El último informe Threat Insights de HP, que abarca de enero a marzo de 2026, muestra cómo los atacantes mezclan deliberadamente actividad maliciosa con el comportamiento normal de TI para evitar ser detectados.
El informe extrae datos de millones de terminales que ejecutan HP Wolf Security durante el período analizado, y las campañas siguieron un patrón consistente basado en ingeniería social en lugar de exploits técnicos.
Cómo la fe se convierte en un arma
El software legítimo queda perfectamente disfrazado porque es menos probable que las herramientas de seguridad marquen aplicaciones que ya reconocen y en las que confían.
Cuando un atacante controla una herramienta de acceso remoto conocida en el dispositivo de una víctima, nada en la pila de seguridad genera una alarma.
Esa invisibilidad comienza con el primer paso: los atacantes utilizan correos electrónicos de phishing de fin de año fiscal y descargas falsas de aplicaciones de escritorio, incluidos instaladores de sitios web de citas fraudulentos, para engañar a los usuarios para que instalen herramientas de acceso remoto que los controlen.
Una vez instaladas, estas herramientas brindan a los atacantes un control total del dispositivo y al mismo tiempo son indistinguibles de la actividad rutinaria de TI.
“Lo que destaca de esta campaña es la facilidad con la que las herramientas legítimas de acceso remoto se están convirtiendo en puntos de entrada para los atacantes”, afirmó Patrick Schlapfer, investigador principal de amenazas en HP Security Labs.
“Al combinar software confiable con ingeniería social cuidadosamente diseñada, vinculada a eventos como el final del año fiscal, cada vez es más difícil distinguir en qué se puede confiar y en qué no”.
Campañas separadas descubiertas al mismo tiempo utilizaban herramientas falsas de recuperación de billeteras de criptomonedas distribuidas a través de plataformas de código compartido y sitios de descarga de medios.
Estas herramientas, en lugar de ayudar a los usuarios a recuperar billeteras perdidas, recopilan credenciales, datos de billeteras e información del sistema antes de empaquetar todo en archivos para su extracción.
Los scripts con muchos emojis utilizados en estos ataques muestran características consistentes con la codificación asistida por IA.
Esto sugiere que las herramientas de codificación de Vibe ahora están reduciendo la barrera para crear malware eficaz.
El malware se esconde a simple vista
El informe de HP documentó campañas de corrección de clics que utilizaban sitios web falsos e indicaciones de captcha realistas para disfrazar el malware como archivos de audio.
Las víctimas, sin saberlo, ejecutan códigos maliciosos en segundo plano mientras creen que están realizando controles de seguridad de rutina.
Al menos el 11% de las amenazas de correo electrónico identificadas por HP Wolf Security durante este período eludieron por completo uno o más escáneres de puerta de enlace de correo electrónico.
Los archivos ejecutables representan la mayor proporción de entrega de malware con un 39%, seguidos por los archivos de almacenamiento con un 38% y los documentos PDF con un 10%.
“Estos ataques no parecen intrusiones: parecen empresas que se mezclan con las operaciones normales de TI y evitan las señales de advertencia asociadas con el malware”, dijo Alex Holland, investigador principal de amenazas en HP Security Labs.
Holland añadió que las organizaciones deberían restringir el acceso innecesario, controlar la instalación de software y aislar actividades riesgosas como descargas y enlaces desconocidos.
Se recomienda a los equipos de seguridad empresarial que ajusten sus defensas ante ataques que parezcan legítimos en lugar de sospechosos.
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
