Se están utilizando técnica de concatenación de archivos ZIP/RAR para entregar
cargas útiles maliciosas en archivos comprimidos y sin que las soluciones de
seguridad las detecten. La técnica aprovecha los diferentes métodos que los
aplicativos compresores manejan para procesar archivos concatenados.
Esta nueva tendencia
fue detectada por Perception Point, quien descubrió un archivo ZIP concatenado que ocultaba un troyano mientras
analizaba un ataque de phishing que atraía a los usuarios con un aviso de
envío falso. Los investigadores descubrieron que el archivo adjunto estaba
disfrazado de archivo RAR y que el malware aprovechaba el lenguaje de
programación AutoIt para automatizar tareas maliciosas.
La primera etapa del ataque es la preparación, donde los actores de la amenaza
crean dos o más archivos ZIP separados y ocultan la carga maliciosa en uno de
ellos, dejando el resto con contenido inocuo. A continuación, los archivos
separados se concatenan en uno agregando los datos binarios de un archivo al
otro, fusionando su contenido en un archivo ZIP combinado.
echo "this is a harmless file!" > first.txt
echo "This is a very scary malware" > second.txt
7zz a pt1.zip first.txt
7zz a pt2.zip second.txt
cat pt1.zip pt2.zip > combined.zip
Aunque el resultado final aparece como un archivo, contiene múltiples
estructuras ZIP, cada una con su propio directorio central y marcadores
finales.
La siguiente fase del ataque depende de cómo los analizadores ZIP manejan los
archivos concatenados. Perception Point probó 7zip, WinRAR y el Explorador de
archivos de Windows con diferentes resultados:
-
7zip solo lee el primer archivo ZIP (que podría ser benigno) y puede generar
una advertencia sobre datos adicionales, que los usuarios pueden perder. -
WinRAR lee y muestra ambas estructuras ZIP, revelando todos los archivos,
incluida la carga maliciosa oculta. -
Es posible que el Explorador de archivos de Windows no pueda abrir el
archivo concatenado o, si se le cambia el nombre con una extensión .RAR,
puede mostrar solo el segundo archivo ZIP.
Dependiendo del comportamiento de la aplicación, los actores de amenazas
pueden ajustar su ataque, como ocultar el malware en el primer o segundo
archivo ZIP de la concatenación.
Al probar el archivo malicioso del ataque a 7Zip, los investigadores de
Perception Point vieron que solo se mostraba un archivo PDF inofensivo. Sin
embargo, al abrirlo con el Explorador de Windows se reveló el ejecutable
malicioso.
Para defenderse de los archivos ZIP concatenados, Perception Point sugiere que
los usuarios y las organizaciones utilicen soluciones de seguridad que admitan
el descomprimido recursivo.
En general, los correos electrónicos que adjuntan archivos ZIP u otros tipos
de archivos deben tratarse con sospecha y se deben implementar filtros en
entornos críticos para bloquear las extensiones de archivos relacionadas.
Fuente:
BC
Los comentarios están cerrados.