Los ciberdelincuentes se dirigen específicamente a los usuarios de Windows mediante una estrategia de evasión avanzada llamada concatenación de archivos ZIP. Este método combina varios archivos ZIP en un solo archivo, lo que dificulta que el software de seguridad detecte contenido malicioso.
Como resultado, los usuarios desprevenidos pueden descargar por error archivos dañinos, creyendo que están accediendo a datos comprimidos seguros.
Esta táctica permite a los atacantes eludir las medidas de seguridad tradicionales y distribuir malware sin ser detectado, lo que plantea riesgos importantes tanto para las personas como para las organizaciones.
Al aprovechar la forma en que varios lectores ZIP manejan archivos concatenados, los atacantes pueden incrustar cargas útiles maliciosas en archivos que evaden la detección de muchas herramientas de seguridad estándar.
Cómo concatenar archivos ZIP
La concatenación de archivos ZIP agrega varios archivos ZIP en un solo archivo. Aunque este archivo combinado parece ser un único archivo, en realidad contiene varios directorios centrales, cada uno de los cuales apunta a un conjunto diferente de archivos.
Según Perception Point, la clave de esta tecnología radica en cómo los diferentes lectores ZIP interpretan las estructuras concatenadas. Algunos lectores sólo muestran el contenido de un archivo e ignoran otros archivos, por lo que los archivos maliciosos ocultos pueden pasar desapercibidos.
Concatenación de archivos ZIP
Por ejemplo, si se concatenan dos archivos ZIP, uno con contenido benigno y el otro con malware, ciertas herramientas solo mostrarán los archivos benignos. Esta discrepancia de procesamiento permite a un atacante ocultar la carga útil de las herramientas de detección que dependen de un lector ZIP en particular.
Los lectores ZIP populares como 7zip, WinRAR y el Explorador de archivos de Windows manejan archivos ZIP concatenados de manera diferente.
7zip: al abrir un archivo ZIP concatenado con 7zip, solo se muestra el contenido del primer archivo. 7zip puede emitir advertencias sobre datos adicionales una vez finalizado el archivo, pero los usuarios suelen pasarlo por alto. WinRAR: a diferencia de 7zip, WinRAR lee el segundo directorio central y revela todo el contenido, incluidos los archivos maliciosos ocultos. Esto permite una detección más efectiva de amenazas incrustadas en archivos concatenados. Explorador de archivos de Windows: el controlador de archivos integrado de Windows tiene problemas con los archivos ZIP concatenados. En algunos casos, es posible que no pueda abrir el archivo por completo o que solo vea parte del contenido del archivo. Esta discrepancia hace que la detección de amenazas ocultas sea menos confiable.
Los ataques recientes destacan cómo los atacantes pueden aprovechar esta técnica para distribuir malware. En este caso, la víctima recibió un correo electrónico de phishing disfrazado de notificación de envío, según el informe.
Ataque de phishing
El correo electrónico contenía un archivo adjunto llamado “SHIPPING_INV_PL_BL_pdf.rar” que parecía ser un archivo RAR, pero en realidad era un archivo ZIP concatenado.
Cuando se abrió con 7zip, el archivo solo mostraba un buen documento PDF. Sin embargo, cuando se abrió en WinRAR o en el Explorador de archivos de Windows, el archivo ejecutable malicioso oculto 'SHIPPING_INV_PL_BL_pdf.exe' quedó expuesto.
Este archivo ejecutable se identificó como una variante de malware troyano diseñada para automatizar tareas maliciosas como la descarga de cargas útiles adicionales y la ejecución de ransomware.
Esta solución alternativa tiene éxito porque aprovecha las diferencias en cómo las diferentes herramientas manejan los archivos ZIP. Muchas soluciones de seguridad se basan en controladores ZIP populares, como 7zip, o herramientas nativas del sistema operativo para escanear archivos en busca de contenido malicioso.
Es posible que estas herramientas no analicen completamente los archivos concatenados, por lo que pueden pasar por alto amenazas ocultas por completo.
Cada vez más piratas informáticos utilizan este método porque les permite apuntar a usuarios específicos que dependen de herramientas específicas y, al mismo tiempo, evitar la detección por parte de otros piratas informáticos. Por ejemplo, los usuarios de Windows que dependen de herramientas integradas o 7zip pueden correr un mayor riesgo de ser víctimas de este tipo de ataques.
Pruebe el análisis de malware y phishing de forma gratuita con Linux Sandbox de ANY.RUN
