Los actores de amenazas están utilizando tácticas novedosas de la tierra (LOTL) para evadir mejor la detección, según el informe de amenazas del segundo trimestre de HP Wolf 2025. Estas tácticas incluyen el uso creciente de múltiples binarios poco comunes en una sola campaña y usos novedosos de los archivos de imágenes, lo que dificulta que los equipos de seguridad distinguen entre actividad maliciosa y legítima. Alex Holland, un investigador principal de amenazas en HP Security Lab, explicó: «Estamos viendo más encadenamiento de las herramientas de vida y el uso de tipos de archivos menos obvios, como las imágenes, para evadir la detección. Tomemos los shells inverso como un ejemplo, no tiene que soltar un troyano de acceso remoto totalmente completo (RAT) cuando un script de peso simple y liviano logro el mismo efecto simple, rápido y rápido bajo el radar de los radares básicos. El malware de Xworm ejecutado a través de MSBuild en un incidente observado, los atacantes encadenaron múltiples herramientas LOTL, incluidas las menos conocidas, para entregar malware Xworm, una rata que contiene capacidades para el robo de datos y el control remoto. En particular, la carga útil final se ocultó en los píxeles de una imagen descargada de un sitio web de confianza, decodificada a través de PowerShell y ejecutada a través de MSBuild. El ataque comenzó con los atacantes que distribuyen archivos HTML HTML compilados (.ChM) maliciosos como archivos adjuntos de correo electrónico, disfrazados de documentación del proyecto, algo que los usuarios a menudo requieren cuando necesitan ayuda para usar aplicaciones de Windows. Los archivos maliciosos no contenían documentación, solo scripts maliciosos diseñados para iniciar una infección en varias etapas. El script incrustado utiliza varios binarios LOTL de Windows para evadir la detección y ejecutar la carga útil. Esto incluye el uso de extrac32.exe para copiar el ejecutable legítimo de Windows Script Host (cscript.exe) desde System32 al directorio de usuario público. La campaña dejó caer un archivo VBScript en el directorio público, con PowerShell utilizado para ejecutar el script. El archivo por lotes, también ejecutado a través de PowerShell, descargó un archivo JavaScript en el directorio ProgramData y lo ejecuta utilizando el script nativo de Windows intérprete. El script PowerShell luego descargó una imagen de un sitio de administración de activos digitales llamado tagbox. Como se confiaba en el dominio de este sitio web y el archivo es una imagen válida, evita la mayoría de los filtros de seguridad. Sin embargo, esta imagen contenía datos ocultos, que se cargan en un objeto de mapa de bits. Esto establece una secuencia de eventos que descarga, decodifica y ejecuta la carga útil final, Xworm, en el proceso legítimo de MSBuild. PDF señora para entregar malware El informe HP Wolf, publicado el 12 de septiembre, también destacó los usos novedosos de los archivos de gráficos vectoriales escalables (SVG) para entregar malware. Los SVG contienen instrucciones de texto en forma de lenguaje de marcado extensible (XML) para dibujar imágenes reestrizables basadas en vectores en una computadora. Los archivos proporcionan una variedad de ventajas para los actores de amenazas, incluido el hecho de que abren en el navegador predeterminado en las computadoras de Windows y se pueden usar para dibujar una gama de formas y gráficos, lo que permite la suplantación de múltiples entidades. También se comportan típicamente como documentos HTML, permitiendo a los atacantes abusar de las tecnologías web estándar, como integrar JavaScript o hacer referencia a recursos externos alojados en servidores controlados por los atacantes. En nuevos incidentes observados en el segundo trimestre, los atacantes distribuyeron archivos SVG extremadamente pequeños que no eran maliciosos por su cuenta. Cuando se abrió en un navegador, el SVG mostró una imitación convincente de una interfaz de lector de Adobe Acrobat, completa con una animación de carga de documentos falso y una barra de carga que se llena gradualmente. Esto le dio a la víctima la impresión de una aplicación web legítima. Una vez que se completó la carga falsa, se le pidió al usuario que recuperara el supuesto involucrado. Sin embargo, hacer clic en el botón Descargar activó una solicitud de fondo a una URL externa, que sirvió un archivo zip. Este archivo zip contenía un archivo JavaScript ofuscado a través de la sustitución de cadenas, otorgando a los atacantes control básico sobre el sistema infectado. Los atacantes también utilizaron geofencing para restringir las descargas a regiones específicas, una táctica diseñada para evadir el análisis automatizado y la detección de retrasos. Lumma Stealer se propagó a través de IMG Archives Lumma Stealer surgió como una de las familias de malware más activas observadas por los investigadores en el segundo trimestre de 2025. En una campaña notable, el Infente de Infente de Infente La imagen de disco contenía un archivo de aplicación HTML (HTA) disfrazado de factura. Si un usuario intenta inspeccionar el archivo en un editor de texto, el script integrado está oculto detrás de largas secuencias de espacios en blanco para evadir el análisis casual. Cuando se ejecuta, el script compiló y ejecutó un comando PowerShell, que luego descargó un ejecutable de una URL predefinida. Este ejecutable era un instalador de Windows construido con el sistema de instalación de scriptable NullSoft (NSIS), una herramienta de código abierto para crear instaladores. Ejecuta un script de instalación personalizado, que crea varias claves de registro que hacen referencia a varias rutas de archivos e intentan abrir numerosos archivos inexistentes, probablemente destinados a engañar a los analistas. Finalmente, el instalador de NSIS lanzó otro comando PowerShell, que ejecutó un archivo abandonado en la carpeta Local AppData. PowerShell corrió dos shellcodes, que después de varias etapas de desempaquetado, desplegaron y ejecutaron Lumma Stealer. Los investigadores señalaron que a pesar del derribo de la policía de la infraestructura de robador de Lumma en mayo de 2025, las campañas continuaron en junio y los operadores han comenzado a reconstruir su infraestructura.