Los ciberdelincuentes camuflan sus ataques con HTTP y HTTPS

Buscar nuevas formas de sortear las medidas de seguridad para seguir estafando a los internautas es uno de los propósitos recurrentes de los ciberdelincuentes.

“La tarea prioritaria para los atacantes es encontrar nuevas formas de cubrir sus huellas a medida que las empresas dedican más recursos a la detección de amenazas”, confirma Ray Canzanese, director de Investigación de Amenazas, Netskope Threat Labs.

Netskope ha publicado los resultados de su Informe sobre Nube y Amenazas: Global Cloud and Web Malware Trends, que pone en evidencia esta tendencia. Los atacantes están triunfando en su cometido de camuflarse y lanzar ataques al aprovechar los protocolos HTTP y HTTPS para mezclarse con el tráfico ya existentes y distribuir malware.

En concreto, utilizan los puertos 80 y 443 como principal canal de comunicación. De entre todos los ejecutables de malware nuevos que se comunican con hosts externos y que han sido examinados por los investigadores, un 85 % emplea el puerto 80 (HTTP) y un 67 % utiliza el puerto 443 (HTTPS).

Algunas muestras de malware sortean las búsquedas DNS y llegan a hosts remotos utilizando direcciones IP. Hasta un 61 % de las muestras de malware que iniciaron comunicaciones externas durante el primer trimestre de 2023 se comunicaron directamente con una IP. Un 91 % lo hizo con al menos un host a través de una búsqueda DNS.

Cabe señalar que más de la mitad (55 %) de las descargas de malware HTTP/HTTPS procede de aplicaciones en la nube. Este porcentaje va en aumento por la popularización de ciertas soluciones como Microsoft OneDrive.

“A medida que los atacantes gravitan hacia los servicios en la nube utilizados mayoritariamente en la empresa y aprovechan los canales populares para comunicarse, la mitigación del riesgo interfuncional es más necesaria que nunca”, señala al respecto Ray Canzanese.

En los meses de enero, febrero y marzo, 5 de cada 1000 usuarios empresariales se enfrentaron a descargas de malware. Las nuevas familias y variantes protagonizaron un 72 % de estas descargas. Alrededor del 60 % eran troyanos.

Una décima parte de las descargas de malware contabilizadas en el arranque del año fueron referidas desde motores de búsqueda, principalmente a partir de vacíos de datos en buscadores o con la combinaciones de términos con pocos resultados.

Además de esta técnica de ingeniería social, los ciberdelincuentes utilizan otras que tienen que ver con el correo electrónico, las aplicaciones de colaboración y las aplicaciones de chat. Las descargas de malware llegaron hasta un total de 261 aplicaciones distintas en el primer trimestre.