Investigadores de la empresa de ciberseguridad Perception Point han conseguido descubrir un nuevo método de phishing que explota archivos de Microsoft Visio consiguiendo evadir las detecciones tradicionales. Esta nueva técnica, la cual ha sido apodada por los investigadores como un ataque «en dos pasos», destaca la evolución de los cibercriminales en sus esfuerzos para eludir los sistemas de seguridad de las organizaciones.
Cómo funciona el ataque
El método consiste en enviar a las posibles víctimas un archivo de Microsoft Visio, posiblemente una de las herramientas más comunes en entornos empresariales que permite la creación de diagramas y flujos de trabajo. Estos archivos contienen hipervínculos con enlaces maliciosos que, al ser abiertos, redireccionan a las víctimas a sitios creados para robarles las credenciales u otra información relevante.
Lo que es particularmente efectivo este ataque es la capacidad para burlar las herramientas tradicionales de seguridad:
1. Primer paso: Los correos electrónicos iniciales pasan desapercibidos, estos no contienen directamente enlaces maliciosos ni archivos sospechosos. Al tratarse de un archivo de Visio, sin más, las herramientas tradicionales dejan pasar el archivo sin problemas.
2. Segundo paso: Una vez que la víctima tiene interacción con el archivo y hace clic en los enlaces que contiene el archivo, se produce la redirección hacia sitios de phishing, camuflados como páginas legítimas y muy difíciles de detectar para el ojo humano.
En la sofisticación está la clave
El uso de Visio es una elección estratégica muy acertada. Al ser un software legítimo y muy utilizado, los cibercriminales aprovechan la confianza hacia este tipo de archivos para minimizar las sospechas ya que normalmente algunos suelen estar en listas blancas de las protecciones de antivirus, EDR o protección de correo. Además, como indica el informe de Perception Point, los enlaces añadidos en estos documentos suelen ser dinámicos, lo que significa que los atacantes pueden modificar los destinos incluso después de que el archivo haya sido enviado, esta técnica impide detectar patrones tanto a las personas como a muchas herramientas de protección.
Impacto en las organizaciones
Este ataque pone en jaque a las organizaciones, especialmente aquellas que confían en medidas de seguridad basadas únicamente en la detección de malware conocido o en el análisis estático de archivos y no usan herramientas de análisis dinámico que podrían detectar comportamientos anómalos. El phishing, como una de las técnicas de ciberataque más comunes, sigue siendo uno de los mayores problemas para las organizaciones, con unos costes significativos asociados a la pérdida de datos y la posterior respuesta a incidentes.
Cómo nos podemos proteger
- Implementación de soluciones de seguridad avanzadas que analicen dinámicamente el contenido de los archivos y enlaces.
- El fomento de la formación en ciberseguridad entre los empleados, especialmente para reconocer posibles intentos de phishing.
- Limitación en la ejecución de archivos adjuntos de fuentes no verificadas, incluso si parecen ser de software legítimo como Microsoft Visio.
- Monitorizar y auditar de manera proactiva los accesos a sistemas críticos y no críticos de la organización.
Qué podemos aprender de este tipo de ataques de phishing
El descubriendo de estas técnicas pone de manifiesto cómo los cibercriminales están diseñando ataques cada vez más sofisticados para evadir las defensas de las organizaciones. Perception Point pone énfasis en la importancia de combinar tecnologías avanzadas con una cultura de ciberseguridad para hacer frente a amenazas que continúan evolucionando.
En un entorno digital donde los riesgos crecen exponencialmente gracias a la inteligencia artificial, es vital estar informado así como plantear y establecer estrategias que pongan como prioridad la prevención, detección y respuesta ante ciberataques.
