El 44% del malware que se ha distribuido durante el tercer trimestre del año estaba alojado en archivos comprimidos ZIP y RAR, superando a los archivos de Office como los más maliciosos por primera vez en tres años.

Según se desprende de un informe de HP Wolf Security, los archivos ZIP y RAR se han convertido en los preferidos por los ciberdelincuentes para distribuir malware. Para la elaboración de este informe, la compañía se ha basado en los datos recopilados de los dispositivos con la solución de seguridad HP Wolf Security.

Unos datos que han constatado la existencia de campañas de ataques que combinan el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML.

El modus operandi para llevar a cabo estos ataques se basa en la incrustación de archivos comprimidos maliciosos en otros HTML. De esta forma, consiguen esquivar las soluciones de seguridad para el correo electrónico, así como el proxy o sandbox.

La proliferación de estos ciberataques hace que el uso de archivos comprimidos se haya consolidado como la técnica más común de distribución de malware, el 44% se distribuye así a nivel mundial, un 11% más que en el anterior trimestre.

Los ZIP y RAR se convierten así en un método de distribución de contenido malicioso más utilizado incluso que los archivos Office como Microsoft Word, Excel y Power Point, que lo hacen en un 32%.

archivos comprimidos correo electrónico zip rar distribución malware estudio HP Wolf Security noticia bit life media.jpg

Cómo usan archivos ZIP y RAR en ciberataques

Después de tres años en los que los archivos adjuntos de Office eran el método de distribución de malware más común, los archivos comprimidos toman el relevo después de llevar a cabo campañas como QakBot e IceID.

En ellas, los ciberdelincuentes han hecho uso de archivos HTML para llevar a los usuarios a falsos visores de documentos online que simulaban ser un programa de Adobe.

Cuando los usuarios abrían el documento, se les pedía que pulsaran sobre el archivo ZIP e introdujeran una contraseña para descomprimir los archivos. Cuando el usuario lo hacía, el malware se desplegaba en sus equipos.

Como en otros casos, el uso de la ingeniería social juega aquí un papel clave creando una página web convincente y diseñada con todo lujo de detalles para conseguir engañar al usuario.

Para reforzar el engaño, los ciberdelincuentes también utilizan páginas falsas de Google Drive. Con ello dificultan que los usuarios sepan en qué archivos pueden confiar y en cuáles no.

Asimismo, otra forma de difundir malware identificada en este estudio es mediante el uso de una cadena de infección modular, en la que se cambia el método de ataque en función del objetivo o introducir nuevas características mientras se ejecuta.

Esto permite a los actores maliciosos atacar con spyware para compartir información del usuario con una entidad externa o convertirse en ransomware para secuestrar los datos. Además, en estas cadenas de infección, los atacantes también pueden introducir nuevas características como el geo-fencing utilizando la ubicación proporcionada por el GPS y el uso de datos de un dispositivo móvil.

Desde HP destacan la dificultad de detectar este tipo de ataques ya que no se introduce el malware directamente en el archivo adjunto que se envía al objetivo.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre