Los delincuentes siempre están buscando nuevas formas de atacar ese trabajo. Al fin y al cabo, esto es lo que marca el éxito de una operación. Entonces decidieron atacar las computadoras con Windows. Utiliza la técnica de concatenación de archivos ZIP (combinar varios archivos en uno) para distribuir virus sin que las soluciones de seguridad los detecten. En la práctica, la técnica explora los diferentes métodos que utilizan las aplicaciones de compresión y los administradores de archivos para manejar archivos ZIP concatenados.
Esta nueva tendencia fue detectada por Perception Point, que descubrió un archivo ZIP concatenado que ocultaba un troyano mientras analizaba un ataque de phishing que atraía a los usuarios con una advertencia falsa.
Los investigadores descubrieron que el archivo adjunto estaba disfrazado de archivo RAR y que el malware utilizaba el lenguaje de programación AutoIt para automatizar tareas maliciosas.
La primera fase del ataque es la preparación, en la que los usuarios malintencionados crean dos o más archivos ZIP separados y ocultan la carga maliciosa en uno de ellos, dejando el resto con contenido inofensivo.
Luego, los archivos separados se concatenan en uno, agregando los datos binarios de un archivo al otro, fusionando su contenido en un archivo ZIP combinado.
Aunque el resultado final aparece como un archivo como se explica en el sitio web de BleepingComputer, contiene varias estructuras ZIP, cada una con su propio directorio central y marcadores finales.
La siguiente fase del ataque
La siguiente fase del ataque depende de cómo las aplicaciones manejan los archivos concatenados. Perception Point probó 7zip, WinRAR y Windows File Explorer y obtuvo resultados diferentes:
7zip sólo lee el primer archivo ZIP (que puede ser benigno). Luego puede generar una advertencia sobre datos adicionales, que es posible que los usuarios no vean.
WinRAR lee y muestra ambas estructuras ZIP, revelando todos los archivos, incluida la carga maliciosa oculta.
Es posible que el Explorador de archivos de Windows no pueda abrir el archivo concatenado. O si se le cambia el nombre con una extensión .RAR, es posible que solo muestre el segundo archivo ZIP.
Dependiendo del comportamiento de la aplicación, los usuarios pueden ajustar su ataque, como ocultar el malware en el primer o segundo archivo ZIP de la concatenación.
Al experimentar con el archivo malicioso en 7Zip, los investigadores de Perception Point vieron que sólo aparecía un archivo PDF inofensivo. Sin embargo, al abrirlo con el Explorador de Windows se reveló el ejecutable malicioso.
Para defenderse de archivos ZIP concatenados, Perception Point sugiere que los usuarios utilicen soluciones de seguridad que admitan la descompresión recursiva.
Estos son los teléfonos inteligentes más investigados del momento y se sorprenderá con Nº1
¿Se perdió la luz? ¡No está solo! Portugal y España!
