7 de diciembre de 2024

Un nuevo método sofisticado de ataque ha surgido en el mundo de la ciberseguridad: los piratas informáticos están utilizando archivos ZIP concatenados para introducir cargas maliciosas en sistemas Windows sin ser detectados por las soluciones de seguridad tradicionales. Este enfoque innovador ha sido recientemente identificado por Perception Point, que descubrió esta técnica mientras investigaba un ataque de phishing que utilizaba un aviso de envío falso para engañar a los usuarios.

¿Cómo funciona la técnica de concatenación de archivos ZIP?

La técnica explota las diferencias en la forma en que los analizadores ZIP y los administradores de archivos interpretan los archivos comprimidos. Básicamente, los atacantes concatenan dos o más archivos ZIP en uno solo, uniendo los datos binarios de cada archivo de forma que parecen ser un único archivo ZIP. Sin embargo, este archivo combinado contiene múltiples estructuras internas, cada una con su propio directorio central y marcadores finales, lo que confunde a los programas que los intentan analizar.

Ocultando malware en archivos ZIP «rotos»

La primera fase del ataque consiste en la preparación. Los atacantes crean varios archivos ZIP, ocultando el malware en uno de ellos mientras dejan los demás con contenido inofensivo. Luego, los archivos se fusionan en un solo archivo comprimido concatenado. Aunque este archivo parece normal, esconde múltiples archivos ZIP internamente.

  • El archivo malicioso se disfraza como un archivo RAR, utilizando AutoIt, un lenguaje de scripting que permite a los atacantes automatizar la ejecución de tareas maliciosas.
  • Esta técnica es especialmente efectiva porque muchos programas no manejan correctamente los archivos concatenados, permitiendo a los atacantes pasar desapercibidos.

Aprovechando vulnerabilidades en los analizadores ZIP

La siguiente fase del ataque explota las diferencias en el manejo de archivos ZIP por parte de distintos programas. Perception Point analizó el comportamiento de herramientas populares como 7zip, WinRAR y el Explorador de archivos de Windows, obteniendo los siguientes resultados:

  1. 7zip: Solo lee la primera estructura ZIP (que puede ser benigna) y genera una advertencia sobre datos adicionales que, en la mayoría de los casos, los usuarios suelen ignorar.
  2. WinRAR: Lee y muestra todas las estructuras ZIP dentro del archivo concatenado, revelando la carga maliciosa.
  3. Explorador de archivos de Windows: Puede fallar al abrir un archivo concatenado o, si se renombra con la extensión .RAR, solo mostrará el contenido de la última estructura ZIP.

Dependiendo del programa utilizado para abrir el archivo, los atacantes pueden ajustar su enfoque, ocultando la carga maliciosa en el primer o segundo archivo dentro del ZIP concatenado.

Ejemplo práctico: cómo el ataque pasó desapercibido

Durante las pruebas, los investigadores de Perception Point encontraron que al abrir el archivo malicioso con 7zip, solo se mostraba un archivo PDF inofensivo. Sin embargo, al usar el Explorador de Windows, se revelaba un ejecutable malicioso oculto. Esta capacidad de los archivos concatenados para pasar desapercibidos en algunos programas pero ser visibles en otros es lo que hace que este enfoque sea tan peligroso.

Cómo protegerse contra archivos ZIP concatenados

Perception Point recomienda tomar las siguientes medidas de protección:

  1. Soluciones de seguridad avanzadas: Utilizar software que soporte la descompresión recursiva para analizar a fondo los archivos comprimidos.
  2. Sospechar de archivos comprimidos en correos electrónicos: Los archivos ZIP y RAR enviados por correo deben ser tratados con precaución, especialmente si provienen de fuentes desconocidas.
  3. Implementar filtros de seguridad: En entornos críticos, bloquear extensiones de archivo potencialmente peligrosas para reducir el riesgo de infecciones.

Conclusión

Esta técnica de concatenación de archivos ZIP es un ejemplo de cómo los cibercriminales están evolucionando para superar las barreras de seguridad. Aunque este método puede parecer complejo, la capacidad de esconder malware en archivos aparentemente inofensivos representa un riesgo significativo para usuarios y empresas. Mantenerse actualizado con las últimas tecnologías de ciberseguridad y ser cauteloso con los archivos comprimidos en correos electrónicos sigue siendo clave para protegerse de este tipo de amenazas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *