{"id":3379,"date":"2024-11-11T22:09:53","date_gmt":"2024-11-12T03:09:53","guid":{"rendered":"https:\/\/zidrave.net\/?p=3379"},"modified":"2024-11-11T22:09:53","modified_gmt":"2024-11-12T03:09:53","slug":"los-piratas-informaticos-ahora-utilizan-la-concatenacion-de-archivos-zip-para-evadir-la-deteccion","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/11\/11\/los-piratas-informaticos-ahora-utilizan-la-concatenacion-de-archivos-zip-para-evadir-la-deteccion\/","title":{"rendered":"Los piratas inform\u00e1ticos ahora utilizan la concatenaci\u00f3n de archivos ZIP para evadir la detecci\u00f3n"},"content":{"rendered":"\n

Un nuevo m\u00e9todo sofisticado de ataque ha surgido en el mundo de la ciberseguridad: los piratas inform\u00e1ticos est\u00e1n utilizando archivos ZIP concatenados para introducir cargas maliciosas en sistemas Windows<\/strong> sin ser detectados por las soluciones de seguridad tradicionales. Este enfoque innovador ha sido recientemente identificado por Perception Point<\/strong>, que descubri\u00f3 esta t\u00e9cnica mientras investigaba un ataque de phishing que utilizaba un aviso de env\u00edo falso para enga\u00f1ar a los usuarios.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

\u00bfC\u00f3mo funciona la t\u00e9cnica de concatenaci\u00f3n de archivos ZIP?<\/h3>\n\n\n\n

La t\u00e9cnica explota las diferencias en la forma en que los analizadores ZIP y los administradores de archivos interpretan los archivos comprimidos<\/strong>. B\u00e1sicamente, los atacantes concatenan dos o m\u00e1s archivos ZIP<\/strong> en uno solo, uniendo los datos binarios de cada archivo de forma que parecen ser un \u00fanico archivo ZIP. Sin embargo, este archivo combinado contiene m\u00faltiples estructuras internas<\/strong>, cada una con su propio directorio central y marcadores finales, lo que confunde a los programas que los intentan analizar.<\/p>\n\n\n\n

Ocultando malware en archivos ZIP \u00abrotos\u00bb<\/h3>\n\n\n\n

La primera fase del ataque consiste en la preparaci\u00f3n. Los atacantes crean varios archivos ZIP<\/strong>, ocultando el malware en uno de ellos mientras dejan los dem\u00e1s con contenido inofensivo. Luego, los archivos se fusionan en un solo archivo comprimido concatenado. Aunque este archivo parece normal, esconde m\u00faltiples archivos ZIP internamente<\/strong>.<\/p>\n\n\n\n

    \n
  • El archivo malicioso se disfraza como un archivo RAR, utilizando AutoIt<\/strong>, un lenguaje de scripting que permite a los atacantes automatizar la ejecuci\u00f3n de tareas maliciosas.<\/li>\n\n\n\n
  • Esta t\u00e9cnica es especialmente efectiva porque muchos programas no manejan correctamente los archivos concatenados, permitiendo a los atacantes pasar desapercibidos.<\/li>\n<\/ul>\n\n\n\n

    Aprovechando vulnerabilidades en los analizadores ZIP<\/h3>\n\n\n\n

    La siguiente fase del ataque explota las diferencias en el manejo de archivos ZIP por parte de distintos programas<\/strong>. Perception Point analiz\u00f3 el comportamiento de herramientas populares como 7zip, WinRAR y el Explorador de archivos de Windows<\/strong>, obteniendo los siguientes resultados:<\/p>\n\n\n\n

      \n
    1. 7zip<\/strong>: Solo lee la primera estructura ZIP (que puede ser benigna) y genera una advertencia sobre datos adicionales que, en la mayor\u00eda de los casos, los usuarios suelen ignorar.<\/li>\n\n\n\n
    2. WinRAR<\/strong>: Lee y muestra todas las estructuras ZIP dentro del archivo concatenado, revelando la carga maliciosa.<\/li>\n\n\n\n
    3. Explorador de archivos de Windows<\/strong>: Puede fallar al abrir un archivo concatenado o, si se renombra con la extensi\u00f3n .RAR<\/code>, solo mostrar\u00e1 el contenido de la \u00faltima estructura ZIP.<\/li>\n<\/ol>\n\n\n\n

      Dependiendo del programa utilizado para abrir el archivo, los atacantes pueden ajustar su enfoque, ocultando la carga maliciosa en el primer o segundo archivo dentro del ZIP concatenado.<\/p>\n\n\n\n

      Ejemplo pr\u00e1ctico: c\u00f3mo el ataque pas\u00f3 desapercibido<\/h3>\n\n\n\n

      Durante las pruebas, los investigadores de Perception Point encontraron que al abrir el archivo malicioso con 7zip<\/strong>, solo se mostraba un archivo PDF inofensivo. Sin embargo, al usar el Explorador de Windows<\/strong>, se revelaba un ejecutable malicioso oculto. Esta capacidad de los archivos concatenados para pasar desapercibidos en algunos programas<\/strong> pero ser visibles en otros es lo que hace que este enfoque sea tan peligroso.<\/p>\n\n\n\n

      C\u00f3mo protegerse contra archivos ZIP concatenados<\/h3>\n\n\n\n

      Perception Point recomienda tomar las siguientes medidas de protecci\u00f3n:<\/p>\n\n\n\n

        \n
      1. Soluciones de seguridad avanzadas<\/strong>: Utilizar software que soporte la descompresi\u00f3n recursiva<\/strong> para analizar a fondo los archivos comprimidos.<\/li>\n\n\n\n
      2. Sospechar de archivos comprimidos en correos electr\u00f3nicos<\/strong>: Los archivos ZIP y RAR enviados por correo deben ser tratados con precauci\u00f3n, especialmente si provienen de fuentes desconocidas.<\/li>\n\n\n\n
      3. Implementar filtros de seguridad<\/strong>: En entornos cr\u00edticos, bloquear extensiones de archivo potencialmente peligrosas para reducir el riesgo de infecciones.<\/li>\n<\/ol>\n\n\n\n

        Conclusi\u00f3n<\/h3>\n\n\n\n

        Esta t\u00e9cnica de concatenaci\u00f3n de archivos ZIP<\/strong> es un ejemplo de c\u00f3mo los cibercriminales est\u00e1n evolucionando para superar las barreras de seguridad. Aunque este m\u00e9todo puede parecer complejo, la capacidad de esconder malware en archivos aparentemente inofensivos<\/strong> representa un riesgo significativo para usuarios y empresas. Mantenerse actualizado con las \u00faltimas tecnolog\u00edas de ciberseguridad y ser cauteloso con los archivos comprimidos en correos electr\u00f3nicos sigue siendo clave para protegerse de este tipo de amenazas.<\/p>\n","protected":false},"excerpt":{"rendered":"

        Un nuevo m\u00e9todo sofisticado de ataque ha surgido en el<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2380],"tags":[8920,826,8921,8915,8924,8918,909,8919,8914,8925,8923,8917,4345,2500,3988,7238,702,2184,8916,8922],"class_list":["post-3379","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-noticias","tag-7zip-vulnerabilidad","tag-amenazas-ciberneticas","tag-analisis-de-archivos-zip","tag-archivos-comprimidos-sospechosos","tag-archivos-zip-concatenados","tag-ataque-de-phishing","tag-ataques-de-phishing","tag-autoit-malware","tag-cargas-maliciosas","tag-ciberseguridad-avanzada","tag-descompresion-recursiva","tag-explorador-de-windows","tag-malware-en-windows","tag-piratas-informaticos","tag-proteccion-contra-malware","tag-proteccion-empresarial","tag-seguridad-informatica","tag-soluciones-de-seguridad","tag-tecnicas-de-evasion","tag-winrar-malware"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3379"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3379\/revisions"}],"predecessor-version":[{"id":3380,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3379\/revisions\/3380"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}