Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Nueva Técnica de Ciberataque: Concatenación de Archivos ZIP

Escrito por Levi Yoris | Nov 11, 2024 8:51:14 PM

¿Sabías que un archivo ZIP aparentemente inofensivo podría ser la puerta de entrada a un ciberataque? Los hackers han encontrado una nueva forma de atacar equipos con Windows usando una técnica conocida como concatenación de archivos ZIP. Básicamente, esto les permite esconder malware dentro de archivos comprimidos sin que los sistemas de seguridad lo noten. ¿El truco? Aprovechan cómo diferentes programas manejan y analizan los archivos ZIP concatenados.

Esta tendencia fue identificada por los expertos de Perception Point, quienes se toparon con un archivo ZIP modificado mientras investigaban un ataque de phishing. En ese caso, los atacantes trataban de engañar a las víctimas con un falso aviso de envío para que descargaran el archivo.

Resulta que el archivo malicioso estaba disfrazado como un archivo RAR, pero en realidad contenía un troyano. Además, los hackers utilizaron AutoIt, un lenguaje de programación, para automatizar las acciones maliciosas una vez que la víctima caía en la trampa.

 

Correo electrónico de phishing que oculta un troyano en un archivo ZIP concatenado

 

Podría interesarte leer:  Advanced Email Security de Acronis: Seguridad de Correo Electrónico

 

Cómo ocultan el malware en archivos ZIP "rotos"

El truco comienza con la preparación: los hackers crean dos o más archivos ZIP por separado. En uno de ellos colocan el malware, mientras que los otros contienen cosas totalmente inofensivas para no levantar sospechas.

Luego, toman esos archivos y los "pegan" en uno solo mediante un proceso de concatenación. Básicamente, fusionan los datos binarios de un archivo con el otro, creando un ZIP combinado que parece normal a simple vista.

Lo curioso es que este archivo final no es un ZIP común. En realidad, contiene múltiples estructuras ZIP dentro, cada una con su propio directorio central y marcadores. Esto confunde a los programas que intentan analizarlo, permitiendo que el malware pase desapercibido.

 

Estructura interna de los archivos ZIP (Fuente: Perception Point)

 

 

La siguiente etapa del ataque aprovecha cómo las distintas aplicaciones manejan archivos ZIP concatenados. Los investigadores de Perception Point hicieron pruebas con 7zip, WinRAR y el Explorador de archivos de Windows, y los resultados fueron bastante variados:

 

  1. 7zip solo lee el primer archivo ZIP, que podría parecer totalmente inofensivo. A veces muestra una advertencia sobre "datos adicionales", pero la mayoría de los usuarios probablemente la ignorarían.

  2. WinRAR es más detallado: lee ambas estructuras ZIP y muestra todos los archivos, incluyendo el malware escondido.

  3. El Explorador de archivos de Windows puede tener problemas para abrir un archivo concatenado. Pero, si el archivo tiene una extensión .RAR, podría mostrar solo el contenido del segundo archivo ZIP.

Dependiendo de cómo reaccione cada aplicación, los hackers pueden ajustar su ataque. Por ejemplo, podrían esconder el malware en el primer ZIP si creen que el usuario usará 7zip, o en el segundo si esperan que usen el Explorador de Windows.

En una prueba del archivo malicioso, Perception Point notó algo interesante: al abrirlo con 7zip, solo se mostraba un archivo PDF aparentemente inofensivo. Sin embargo, al usar el Explorador de Windows, el archivo dejaba al descubierto un ejecutable malicioso. ¡Es como si el malware jugara al escondite dependiendo de quién lo mire!

 
7zip (arriba) y el Explorador de archivos de Windows (abajo) abriendo el mismo archivo

 

Para protegerte de los archivos ZIP concatenados, es clave usar soluciones de seguridad capaces de analizar a fondo archivos comprimidos y descomprimirlos de forma recursiva, es decir, inspeccionarlos capa por capa.

Además, hay que ser muy cuidadoso con los correos electrónicos que incluyen archivos ZIP u otros tipos de archivos comprimidos. Siempre es mejor tratarlos con sospecha, especialmente si vienen de remitentes desconocidos o si no los esperabas. En entornos más críticos, como empresas, es buena idea implementar filtros que bloqueen ciertas extensiones de archivo para reducir riesgos. Más vale prevenir que lamentar.

Una solución integral para este tipo de amenazas es TecnetProtect, que combina ciberseguridad avanzada y backups en un solo paquete. Con características específicas para proteger el correo electrónico, TecnetProtect analiza los archivos adjuntos en busca de actividades sospechosas y puede bloquear archivos potencialmente peligrosos antes de que lleguen a los usuarios. Además, al incluir opciones de respaldo de datos, garantiza que tu información esté segura incluso si ocurre algún incidente.