MADRID, 17 Sep. (Portaltic/EP) -
Los ciberdelincuentes utilizan nuevas técnicas para ocultar enlaces maliciosos en los correos electrónicos mediante el kit de 'Phishing as a Service' (PhaaS) Tycoon, que se basan en confundir los sistemas de detección automatizados mediante el uso de caracteres oscuros, espacios invisibles o la integración de símbolos rarps como el '@' o el dólar en la dirección del enlace.
Los sistemas de detección automáticos están diseñados para identificar posibles enlaces maliciosos recibidos, por ejemplo, a través de correos electrónicos, con el objetivo de bloquearlos y evitar que el usuario sea víctima de algún tipo de ciberataque, ya sea 'phishing' o 'malware'.
Sin embargo, los actores maliciosos cada vez refinan más sus técnicas y, a través de kits de PhaaS, como es el caso de Tycoon, tratan de esconder estos enlaces maliciosos para que pasen desapercibidos por los sistemas de detección, alterando su estructura o URL para confundirlos y continuar con su finalidad.
Para ello, recurren a trucos con espacios, símbolos y direcciones web que parecen fiables a primera vista, pero que, realmente, dificultan que las personas y los 'softwares' de seguridad detecten que conduce a un sitio web peligroso.
NUEVOS MÉTODOS PARA OCULTAR ENLACES MALICIOSOS
En este sentido, los analistas de amenazas de la empresa de ciberseguridad Barracuda han compartido un nuevo informe en el que detallan las últimas técnicas ofrecidas por el kit Tycoon para garantizar el funcionamiento de estos enlaces maliciosos en los correos electrónicos.
Estas nuevas técnicas de ocultación de URL identificadas se basan en cuestiones como insertar una serie de espacios invisibles en el enlace malicioso, introduciendo repetidamente el código '%20' en su línea de dirección.
Siguiendo esta línea, los ciberdelincuentes también añaden caracteres oscuros utilizando símbolos Unicode. Por ejemplo, pueden utilizar un símbolo Unicode que parezca un punto pero que realmente no lo sea para modificar la URL.
De la misma forma, otro símbolo utilizado es el '@', que se agrega en la dirección del enlace porque todo lo que aparece antes es tratado como "información del usuario" por los navegadores. Por tanto, los ciberdelincuentes aprovechan esta característica para colocar algo que parezca fiable antes del '@' y dejar el destino real del enlace en la parte final, que hace que pase de largo.
Igualmente, los actores maliciosos también crean enlaces web con símbolos que los expertos han definido como "extraños", por ejemplo las barras invertidas '\' o signos de dólar '$', que normalmente no se utilizan en las URL. Al no ser habituales, estos símbolos pueden alterar la forma en que las herramientas de seguridad leen la dirección, lo que ayuda a que las URL pasen desapercibidas aunque realmente sean maliciosas.
Desde Barracuda han detallado que otro método que se ha observado a través del kit Tycoon es el de crear URLs que solo contengan hipervínculos parciales o que no contenga elementos no válidos. Por ejemplo, utilizando dos veces el 'https' o eliminando los símbolos '//' para ocultar el destino real del enlace.
Finalmente, los expertos en ciberseguridad también han apuntado que los actores maliciosos pueden optar por crear una URL en la que la primera parte sea benigna y contenga un hipervínculo para hacerla creíble, pero que la segunda parte, donde realmente se esconde el contenido malicioso, aparezca como texto sin formato.
En este último caso, se aprovecha que la parte maliciosa del enlace no está conectada al hipervínculo, para que las herramientas de seguridad la pasen por algo, leyendo la URL de forma incompleta.
MEJOR DEFENSA: ENFOQUE MULTICAPA
Según ha explicado el director del equipo de análisis de amenazas de Barracuda, Saravan Mohankumar, estas nuevas formas de disimular los enlaces maliciosos, cada vez más "sofisticadas", surgen como respuesta a las herramientas de seguridad que cada vez son "más eficaces" a la hora de detectar y bloquear enlaces maliciosos en correos electrónicos de 'phishing'.
Así, ha matizado que la mejor defensa para enfrentar estas nuevas técnicas es disponer de un "enfoque multicapa". Es decir, disponer de varios niveles de seguridad que puedan detectar, inspeccionar y bloquear actividades inusuales o inesperadas.
Según ha ejemplificado la compañía al respecto, las soluciones que incluyen capacidades de inteligencia artificial (IA) y aprendizaje automático "tanto a nivel de la puerta de enlace del correo electrónico como después de la entrega", garantizan que las empresas y los usuarios estén protegidos.
No obstante, también ha recalcado que todo ello debe completarse con una formación activa y periódica de las últimas amenazas de ciberseguridad, cómo detectarlas y notificarlas.