Entre las familias de ‘malware’ más comunes en Europa se encuentra Guloader, un troyano de primera fase que los atacantes usan para obtener acceso inicial antes de desplegar ‘malware’ adicional
Las aplicaciones Microsoft OneDrive (52%), SharePoint (33%), Teams (24%) y Outlook (20%) son las cuatro herramientas en la nube más utilizadas diariamente en Europa. Los atacantes son conscientes de esta tendencia y, como resultado, OneDrive y SharePoint se han convertido en las principales fuentes de descargas de malware en Europa.
El número de descargas de programas maliciosos desde Microsoft OneDrive refleja una combinación de tácticas de los atacantes: abusar de OneDrive para distribuir malware y abusar del comportamiento de las víctimas debido a la alta probabilidad de hacer clic en los enlaces y descargar malware debido a su familiaridad con la aplicación.
Asimismo, Github ocupó el tercer lugar en descargas de malware, ya que los atacantes buscan aprovecharse de los desarrolladores que descargan código para agilizar su trabajo. Así lo ha reflejado el último informe Netskope Threat Labs que se ha basado en datos de uso anónimos recogidos de un subconjunto europeo de más de 3.000 clientes de la organización.
Guloader, el ‘malware’ multifase más frecuente de Europa
Entre las familias de malware más comunes en Europa se encuentra Guloader, un troyano de primera fase que los atacantes usan para obtener acceso inicial antes de desplegar otro ataque adicional, como infostealers y troyanos. Además, el informe de Netskope ha revelado que el malware de segunda fase a menudo se almacena en aplicaciones de almacenamiento en la nube confiables, como OneDrive y SharePoint, debido a que los empleados desprevenidos confían en estas aplicaciones conocidas.
En este sentido, Paolo Passeri, responsable de Ciberinteligencia de Netskope, ha señalado que “Es interesante ver que los atacantes utilizan Guloader como primera fase de lanzamiento del malware. Guloader se aprovecha de servicios populares en la nube como OneDrive y Google Drive para liberar una carga maliciosa en una fase posterior del ataque. Este último informe pone aún más de relieve lo imprescindible que es que las empresas inspeccionen todo el tráfico de aplicaciones en la nube, con independencia de que se dirija hacia o desde un servicio en la nube de buena reputación. Seguimos viendo que los proveedores de seguridad recomiendan que el tráfico de OneDrive se excluya de la política de seguridad, y este informe demuestra lo poco aconsejable de esta medida”.
Por otro lado, ha destacado Remcos, un troyano de acceso remoto, y AgentTesla, un infostealer. Ambos son de las principales familias en Europa, y frecuentemente se usan en conjunto con Guloader.
Por último, el informe Netskope Threat Labs ha hecho hincapié en que las descargas de malware están aumentando en Europa tras su descenso en 2023. Desde febrero de 2024, ha habido un aumento constante, y el continente lidera la media mundial de descargas en mayo de 2024.
El abuso de las aplicaciones en la nube permite al malware pasar desapercibido en muchas organizaciones, eludiendo los controles de seguridad que dependen de herramientas heredadas, como las listas de bloqueo de dominios, o las que no inspeccionan todo el tráfico en la nube.
