Crece el uso de archivos ZIP y RAR para la distribución de malware
- Endpoint
La combinación de archivos comprimidos y el contrabando de HTML está ayudando a los ciberdelincuentes a burlar las herramientas de detección. HP identificó una campaña que utiliza una cadena de infección modular, lo que podría permitir cambiar dinámicamente el método de ataque.
|
Recomendados.... |
Los atacantes cambian constantemente de técnicas, lo que hace muy difícil que las herramientas de detección se percaten de los ataques. En este sentido, el informe HP Wolf Security Threat Insights del tercer trimestre identificó varias campañas que combinaban el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML (HTML smuggling), en las que los ciberdelincuentes incrustan archivos comprimidos maliciosos en archivos HTML para eludir las soluciones de seguridad de correo electrónico y tras esto, lanzar el ataque.
Por ejemplo, las recientes campañas de QakBot y IceID utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos online que se hacían pasar por Adobe. A continuación, se pedía a los usuarios que abrieran un archivo ZIP e introdujeran una contraseña para descomprimir los archivos, que luego desplegaban el malware en sus equipos. Como el malware dentro del archivo HTML original está codificado y encriptado, la detección por parte de las soluciones de seguridad enfocadas en el correo electrónico u otras herramientas de seguridad es muy difícil.
“Los archivos son fáciles de cifrar, lo que ayuda a los ciberdelincuentes a ocultar el malware y a evadir soluciones tipo proxy, sandbox o soluciones de seguridad de correo electrónico basadas en la detección. Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML. Lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas: estas campañas eran más convincentes que las que habíamos visto antes, lo que dificulta que la gente sepa en qué archivos puede confiar y en cuáles no”, explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security.
HP también identificó una campaña compleja que utiliza una cadena de infección modular, lo que podría permitir a los atacantes cambiar dinámicamente el método de ataque -como el spyware, el ransomware o el keylogger- en mitad del ataque o introducir nuevas características, como el geo-fencing, una tecnología que funciona con la ubicación proporcionada por el GPS y el uso de los datos de un dispositivo móvil. Esto podría permitir a los ciberdelincuentes cambiar de táctica en función del objetivo que haya vulnerado.
El informe constata que los archivos ZIP y RAR son el tipo de archivo más común para la distribución de malware, superando a los archivos de Office por primera vez en tres años. El 44% del malware se distribuyó dentro de archivos comprimidos, en comparación con el 32% que se distribuyó a través de archivos de Office como Microsoft Word, Excel y PowerPoint.
