HP detecta nuevas técnicas de phishing con PDFs de gran realismo

HP ha publicado su Informe de Amenazas, que revela cómo técnicas tradicionales como el living-off-the-land (LOTL) y el phishing están evolucionando para eludir las herramientas de seguridad basadas en la detección. Estas técnicas, que implican el uso de utilidades legítimas del propio sistema para ejecutar ataques, han sido parte del arsenal de los actores de amenazas durante años. Ahora, los investigadores de HP advierten de que el uso de múltiples binarios poco comunes en una misma campaña dificulta aún más distinguir entre actividad maliciosa y legítima.

El informe analiza ciberataques reales, y ayuda a las organizaciones a mantenerse al día con las tácticas más recientes que los delincuentes utilizan para evadir la detección y comprometer equipos en un panorama delictivo en constante cambio. Basado en millones de endpoints protegidos por HP Wolf Security, las campañas destacadas incluyen falsas facturas de Adobe Reader, en una nueva ola de engaños de ingeniería social ultra elaborados.

Con ella, los atacantes incrustaron un reverse shell, un script que otorga control remoto del dispositivo al atacante, en una pequeña imagen SVG disfrazada como un archivo de Adobe Acrobat Reader con una barra de carga falsa. Esta simulación aumentaba las probabilidades de que el archivo se abriera y activara la cadena de infección. Además, limitaron la descarga a regiones de habla alemana para reducir la exposición y dificultar el análisis automático.

El informe también recoge la existencia de malware oculto en imágenes pixeladas. En estos casos, los atacantes usaron archivos de ayuda compilada HTML de Microsoft (CHM) para esconder código malicioso en los píxeles de imágenes, disfrazados como documentos de proyecto. Esto permitió entregar una carga útil de XWorm que se ejecutaba mediante una cadena de infección por etapas, con múltiples técnicas LOTL. También se usó PowerShell para ejecutar un archivo CMD que eliminaba evidencias tras la descarga y ejecución.

Por último, los expertos de la compañía han constatado el regreso del stealer Lumma a través de archivos de imagen IMG. Lumma ha sido una de las familias de malware más activas del segundo trimestre, distribuida mediante archivos comprimidos IMG que empleaban técnicas LOTL para evadir filtros de seguridad. A pesar de una ofensiva policial contra el grupo que la controla que tuvo lugar en mayo de 2025, las campañas continuaron en junio, con el grupo registrando nuevos dominios y ampliando su infraestructura.

El informe, que abarca datos de abril a junio de 2025, detalla cómo los ciberdelincuentes siguen diversificando métodos de ataque para evadir herramientas basadas en detección. El 13 % de las amenazas por correo electrónico identificadas por HP Sure Click eludieron al menos un escáner de puerta de enlace.

Por otro lado, los archivos comprimidos fueron el tipo de entrega más común (40%), seguidos por ejecutables y scripts (35%). Los archivos .rar representaron el 26% de los ataques, lo que sugiere que los atacantes explotan la confianza en software como WinRAR.

Alex Holland, Investigador principal de amenazas en HP Security Lab, ha comentado que “los atacantes no están reinventando la rueda, pero sí están refinando sus técnicas. El living-off-the-land, los reverse shells y el phishing existen desde hace décadas, pero los ciberdelincuentes actuales los están perfeccionando. Vemos cada vez más herramientas LOTL encadenadas y tipos de archivo poco obvios, como imágenes, para evitar la detección. No se necesita un troyano completo cuando un simple script puede lograr el mismo efecto. Es simple, rápido y suele pasar desapercibido por su bajo perfil”.

Ian Pratt, Jefe global de Seguridad para sistemas personales en HP, ha añadido que “las técnicas de living-off-the-land son notoriamente difíciles de detectar porque cuesta diferenciar entre actividad legítima y maliciosa. Es una elección difícil: restringir demasiado y entorpecer al usuario o dejar la puerta abierta y arriesgarse a que un atacante se infiltre. Incluso los mejores sistemas de detección fallan a veces; por eso, el enfoque de defensa en profundidad con contención e aislamiento es esencial para atrapar amenazas antes de que causen daño«.