Los actores malintencionados aprovechan las diferentes formas en que los archivos zip combinan varios archivos en un solo archivo como táctica antidetección en ataques de phishing que generan una variedad de ataques. Variedades de troyanos maliciosos.incluido SmokeLoader.
Los atacantes abusan de la flexibilidad estructural de los archivos zip mediante una técnica conocida como concatenación, un método para agregar múltiples archivos zip en un solo archivo, según una nueva investigación de Perception Point. En este método, el archivo combinado aparece como un archivo que en realidad contiene varios directorios centrales, cada uno de los cuales apunta a diferentes conjuntos de entradas de archivos.
Sin embargo, “esta diferencia en el manejo de zips concatenados permite a los atacantes evadir las herramientas de detección ocultando cargas maliciosas en partes del archivo a las que algunos lectores zip no pueden o no tienen acceso”, Arthur Vaiselbuh, ingeniero interno de Windows, y Peleg Cabra, marketing de producto. gerente en Punto de percepción, escribió en una publicación de blog reciente.
La concatenación abusiva permite a los atacantes ocultar malware en archivos zip que incluso los lectores destinados a escanear archivos para un análisis en profundidad, incluyendo 7.zip o herramientas nativas del sistema operativo, pueden no detectar, según Perception Point.
“Los malos actores saben que estas herramientas a menudo pasan por alto o pasan por alto el contenido malicioso oculto en los archivos concatenados, lo que les permite distribuir su carga útil sin ser detectados y apuntar a usuarios que usan un programa específico para trabajar con los archivos”, señalan Vaiselbuh y Cabra en su artículo.
Cómo explotar archivos Zip
Para ilustrar cómo se pueden hacer mal uso los archivos zip, el artículo describe las diferentes formas en que tres lectores de archivos zip populares (7.zip, Explorador de archivos de Windows y WinRAR) manejan archivos zip concatenados.
7.zip, por ejemplo, sólo mostrará el contenido del primer archivo, luego puede mostrar una advertencia que diga que “hay datos después del final del archivo”. Sin embargo, este mensaje a menudo se pasa por alto y, por lo tanto, los archivos maliciosos puede no ser detectadoanotaron los investigadores.
El Explorador de archivos de Windows tiene diferentes posibilidades de uso malicioso, ya que “puede no abrir el archivo o, si se le cambia el nombre a .rar, sólo mostrará el contenido del segundo archivo ‘malicioso'”, según el mensaje. “En ambos casos, el procesamiento de estos archivos deja lagunas si se utilizan en un contexto de seguridad”, escribieron Vaiselbuh y Cabra.
WinRAR adopta un enfoque diferente, ya que lee el segundo directorio central y muestra el contenido del segundo archivo potencialmente malicioso, lo que lo convierte en “una herramienta única para revelar la carga útil oculta”, agregaron.
En última instancia, aunque estas unidades a veces detectan actividad maliciosa, las diferentes formas en que cada unidad maneja archivos concatenados dejan espacio para vulnerabilidades, lo que genera resultados variables y posibles implicaciones de seguridad, según Perception Point.
Vector de ataque de phishing
El ataque de phishing que explota la concatenación observada por Perception Point comienza con un correo electrónico que supuestamente proviene de una empresa de envío y utiliza la urgencia para atraer a los usuarios. El correo electrónico está marcado como “Alta importancia” e incluye un archivo adjunto, SHIPPING_INV_PL_BL_pdf.rar, enviado con el pretexto de que es un documento de envío que debe revisarse antes de poder realizar un envío.
El archivo adjunto parece ser un archivo rar debido a su extensión .rar, pero en realidad es un archivo concatenado. archivo zipdisfrazado deliberadamente para confundir al usuario no sólo explotando la confianza asociada con los archivos rar, sino también eludiendo detecciones básicas que podrían depender de extensiones de archivo para evaluaciones iniciales de archivos, según la publicación.
El archivo contiene una variante de la conocida familia de troyanos maliciosos. Cargador de humo diseñado para automatizar tareas maliciosas, como descargar y ejecutar cargas útiles adicionales, que podrían incluir otros tipos de malware, como troyanos bancarios o ransomware.
Sin embargo, en las pruebas, sólo dos de las tres herramientas que analizan archivos zip detectaron la presencia de un archivo potencialmente malicioso en el archivo, según la publicación. Al abrir el archivo adjunto usando 7.zip solo se revela un PDF de apariencia inofensiva titulado “x.pdf”, que parece ser un documento de envío inocente. Por otro lado, el Explorador de archivos de Windows o WinRAR exponen completamente el peligro oculto.
“Ambas herramientas muestran el contenido del segundo archivo, incluido el ejecutable malicioso SHIPPING_INV_PL_BL_pdf.exe, diseñado para ejecutar el malware”, escribieron Vaiselbuh y Cabra.
Mitigar un problema persistente
Los investigadores de seguridad de Perception Point contactaron a los desarrolladores de 7.zip para abordar el comportamiento que observaron entre su reproductor y los archivos zip concatenados, según la publicación. Sin embargo, su respuesta no reconoció que se tratara de alguna forma de vulnerabilidad.
“El desarrollador ha confirmado que esto no es un error y es una característica intencional, lo que significa que es poco probable que este comportamiento cambie, dejando la puerta abierta para que los atacantes continúen explotándolo”, escribieron Vaiselbuh y Cabra.
Como sigue existiendo el riesgo de que el vector de ataque observado esté explotando estos archivos en ataques de phishing, se recomienda a los usuarios que aborden con precaución cualquier correo electrónico enviado por una entidad desconocida que les exija tomar medidas inmediatas para abrir un archivo no solicitado.
También se anima a las empresas a utilizar herramientas de seguridad avanzadas que detecten cuándo un archivo zip (o un archivo rar con formato incorrecto) se concatena y extrae recursivamente cada capa. Este tipo de análisis puede garantizar que “no se pase por alto ninguna amenaza oculta, sin importar cuán profundamente estén enterradas: las cargas útiles profundamente anidadas u ocultas se revelan para un análisis más detallado”, escribieron Vaiselbuh y Cabra.