Ciberseguridad

Los archivos ZIP superan a los archivos Office como los más maliciosos

El 44% del malware distribuido durante el tercer trimestre de este año se ha encontrado dentro de archivos comprimidos ZIP y RAR.

3 minutos

El 44% del malware se distribuye a través de archivos ZIP.

El 44% del malware distribuido durante el tercer trimestre de este año se ha encontrado dentro de archivos comprimidos ZIP y RAR, lo que les convierte en los archivos más comunes para distribución de malware, superando la difusión de software malintencionado en archivos Office por primera vez en tres años, según un informe de HP Wolf Security.

El estudio, realizado por la empresa tecnológica estadounidense HP, se ha basado en los datos recopilados de los dispositivos que ejecutan HP Wolf Security. Como resultado se han identificado campañas de ataques que combinan el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML.

En estos ataques, el modus operandi de los ciberdelincuentes es incrustar archivos comprimidos maliciosos en archivos HTML, de forma que sortean las soluciones de seguridad del correo electrónico, tal y como ha informado HP en un comunicado.

Así, los ataques a través de archivos comprimidos se consolidan como los más comunes de distribución de malware (un 44%), aumentando en un 11% el trimestre anterior. En base a ello, supera la distribución a través de archivos de Office como Microsoft Word, Excel y Power Point (un 32%).

Hasta ahora, los archivos de Office eran los más peligrosos en este sentido, pero por primera vez en tres años, se han identificado más distribuciones de malware a través de archivos ZIP y RAR.

Campañas QakBot y IceID

Un ejemplo de campañas de este estilo son las de QakBot y IceID, que utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos online que se hacían pasar por Adobe. Tras ello, se pedía a los usuarios abrir el archivo ZIP y que introdujeran una contraseña para poder descomprimir los archivos. Una vez descomprimidos el malware se desplegaba en sus equipos.

Este sistema consigue evadir las soluciones de seguridad enfocadas en el correo electrónico, como proxy o sandbox, y otras herramientas de seguridad, porque el malware dentro del archivo HTML original está codificado y encriptado, lo que hace su detección muy difícil.

Además, el atacante utiliza ingeniería social para engañar al usuario mediante la creación de una página web convincente y bien diseñada. Incluso, este estudio también descubrió que los ciberdelincuentes utilizaban páginas falsas de Google Drive para ganar confianza.

Al respecto, el analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, Alex Holland, ha insistido en que lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas. "Estas campañas eran más convincentes que las que habíamos visto antes, lo que dificulta que la gente sepa en qué archivos puede confiar y en cuáles no", ha dicho.

Por otra parte, HP también identificó una campaña de ataques que funciona mediante el uso de una cadena de infección modular. Este tipo de ataques tienen un carácter complejo, ya que permite a los atacantes cambiar el método de ataque en función del objetivo que haya vulnerado o introducir nuevas características mientras se está ejecutando.

Es decir, los ciberdelincuentes podrían atacar con spyware para compartir información del usuario a una entidad externa o cambiar a ramsomware y secuestrar datos del usuario, según el objetivo que hayan vulnerado. Además, pueden introducir nuevas características como el geo-fencing, cuya tecnología utiliza la ubicación proporcionada por el GPS y el uso de datos de un dispositivo móvil.

Igualmente, al no introducir el malware directamente en el archivo adjunto enviado al objetivo, es más complicado detectar este tipo de ataque.

Como solución a estos ataques, el Jefe Global de Seguridad para Sistemas Personales de HP, Ian Pratt, propone el uso de la tecnología de aislamiento de aplicaciones Zero Trust que utiliza HP Wolf Security.

Esta tecnología ejecuta las tareas de riesgo, como la apertura de archivos adjuntos de correo electrónico, la descarga de archivos y el clic en enlaces, en máquinas microvirtuales (micro-VM) aisladas. De esta forma, protege a los usuarios, capturando rastros detallados de los intentos de ataque.

"Siguiendo el principio de Zero Trust de aislamiento de precisión, las organizaciones pueden utilizar la microvirtualización para asegurarse de que las tareas potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecuten en una máquina virtual desechable separada de los sistemas subyacentes. Este proceso es completamente invisible para el usuario, y atrapa cualquier malware oculto en su interior, asegurando que los atacantes no tengan acceso a los datos sensibles e impidiéndoles acceder y moverse lateralmente", ha explicado Ian Pratt.

Con esta tecnología HP aísla las amenazas en los ordenadores que han eludido las herramientas de detección. Por ello, HP Wolf Security tiene una visión específica de las últimas técnicas utilizadas por los ciberdelincuentes. Estos datos indican que, hasta la fecha, los clientes de HP han hecho clic en más de 18.000 millones de archivos adjuntos de correo electrónico, páginas web y archivos descargados sin que se hayan registrado infracciones.