www.zonamovilidad.es
Los archivos ZIP se han convertido en el archivo más común para los ataques malware
Ampliar

Los archivos ZIP se han convertido en el archivo más común para los ataques malware

sábado 24 de diciembre de 2022, 14:27h

Escucha la noticia

HP ha publicado su informe HP Wolf Security Threat Insights del tercer trimestre del año, que señala que los archivos ZIP y RAR son el tipo de archivo más común para la distribución de malware, superando a los archivos de Office por primera vez en tres años. En este informe, la compañía ofrece un análisis de los ciberataques del mundo real, ayudando a las organizaciones a mantenerse al día de las últimas técnicas que los ciberdelincuentes utilizan para evadir la detección y vulnerar la seguridad de los usuarios.

Un aspecto muy destacado de esta investigación es que el 44% del malware se distribuyó dentro de archivos comprimidos, se trata de un 11% más que en el trimestre anterior, en comparación con el 32% que se distribuyó a través de archivos de Office como Microsoft Word, Excel y PowerPoint.

Por otro lado, este informe ha identificado varias campañas que combinaban el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML (HTML smuggling), en las que los ciberdelincuentes incrustan archivos comprimidos maliciosos en archivos HTML para eludir las soluciones de seguridad de correo electrónico y tras esto, lanzar el ataque.

Las recientes campañas de QakBot y IceID utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos online que se hacían pasar por Adobe. A continuación, se pedía a los usuarios que abrieran un archivo ZIP e introdujeran una contraseña para descomprimir los archivos, que luego desplegaban el malware en sus equipos.

HP presenta Sure Access Enterprise, su nueva arma para combatir el robo de datos

Leer más

“Como el malware dentro del archivo HTML original está codificado y encriptado, la detección por parte de las soluciones de seguridad enfocadas en el correo electrónico u otras herramientas de seguridad es muy difícil. En su lugar, el atacante se basa en la ingeniería social, creando una página web convincente y bien diseñada para engañar a los usuarios y que inicien así el ataque abriendo el archivo ZIP malicioso. En octubre, también se descubrió que los mismos atacantes utilizaban páginas falsas de Google Drive en un esfuerzo continuo por engañar a los usuarios para que abrieran archivos ZIP maliciosos”, así lo ha explicado HP en un comunicado.

Por otro lado, Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, ha dicho que “los archivos son fáciles de cifrar, lo que ayuda a los ciberdelincuentes a ocultar el malware y a evadir soluciones tipo proxy, sandboxo soluciones de seguridad de correo electrónico basadas en la detección. Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML. Lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas: estas campañas eran más convincentes que las que habíamos visto antes, lo que dificulta que la gente sepa en qué archivos puede confiar y en cuáles no”.

Otro aspecto bastante interesante, es que HP ha identificado una campaña compleja que usa una cadena de infección modular, lo que podría permitir a los atacantes cambiar dinámicamente el método de ataque, como el spyware, el ransomware o el keylogger, en mitad del ataque o introducir nuevas características, como el geofencing., una tecnología que funciona con la ubicación proporcionada por el GPS y el uso de los datos de un dispositivo móvil. Esto podría permitir a los ciberdelincuentes cambiar de táctica en función del objetivo que haya vulnerado. Al no incluir el malware directamente en el archivo adjunto enviado al objetivo, también es más difícil que las puertas de enlace del correo electrónico detecten este tipo de ataque.

Para concluir, Pratt, Jefe Global de Seguridad para Sistemas Personales de HP, ha dicho que “como se ha visto, los atacantes cambian constantemente de técnicas, lo que hace muy difícil que las herramientas de detección se percaten de los ataques. Siguiendo el principio de Zero Trust de aislamiento de precisión, las organizaciones pueden utilizar la microvirtualización para asegurarse de que las tareas potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecuten en una máquina virtual desechable separada de los sistemas subyacentes. Este proceso es completamente invisible para el usuario, y atrapa cualquier malware oculto en su interior, asegurando que los atacantes no tengan acceso a los datos sensibles e impidiéndoles acceder y moverse lateralmente”.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios