Los archivos ZIP y RAR están entre nosotros desde tiempos inmemoriales, sin embargo ha llegado el momento de ser muy cautos a la hora de abrirlos porque en ellos, muy habituales en las descargas de internet, puede haber malware tal y como están detectando muchas organizaciones expertas en ciberseguridad.
Tanto es así que los archivos ZIP maliciosos superan ya en número a los de Office por primera vez en los tres últimos años. Es lo que concluye el informe de HP Wolf Security Threat Insights del tercer trimestre de 2022.
Concretamente, la investigación de HP ha descubierto que el 44% del malware se ha distribuido en los archivos ZIP en comparación con el 32% que se distribuyó en los archivos de Office, es decir, los de las aplicaciones de Microsoft Word, Excel y Power Point.
Crece en un 11% el número de archivos ZIP con malware
En comparación con el mismo trimestre el año anterior, los responsables de ciberseguridad de HP Wolf Security han comprobado que el número de archivos ZIP con mal ha crecido un 11%. Todos los análisis llevados a cabo durante el periodo analizado (julio-septiembre de 2022) se han hecho en tiempo real con el objetivo de tener un mapeo de observación que ayude a las empresas a tomar decisiones sobre la seguridad digital.
La tipología más habitual del modus operandi de los hackers en los archivos ZIP consiste en la combinación de este tipo de ficheros comprimidos con las llamadas técnicas de contrabando de HTML. De esta forma, se ha visto que los ciberdelincuentes han incrustado archivos ZIP maliciosos en archivos HTML que han eludido diversas soluciones de seguridad instaladas en los correos electrónicos.
QakBot y IceID: ejemplos de ataques
Ejemplos de esta combinación de técnicas de incrustación con malware se han dado con las recientes campañas QakBot y IceID. HP Wolf Security informa que se han utilizado archivos HTML para redirigir a los usuarios a documentos online falsos que se hacía pasar por archivos de Adobe. En entornos laborales es muy fácil pinchar en este tipo de enlaces a priori inofensivos si antes no lo han alertado los sistemas de seguridad instalados. Una vez dirigidos a su página de destino, se pedía a los usuarios que abrieran un archivo ZIP e introdujeran una contraseña para descomprimir los archivos, que luego desplegaban el malware en sus equipos.
A partir de ese momento, el dispositivo está infectado y la puerta queda abierta para terceras personas ajenas al negocio. Personas que utilizan métodos muy sofisticados y que burlan las soluciones de seguridad porque el archivo HTML original está codificado y encriptado. La página sustituta, aquella que contiene el archivo comprimido con malware, se ha desarrollado visualmente de una manera muy convincente y pareciendo fiable para el usuario.
De esta forma, existe plena confianza para poder abrir un archivo ZIP u otro porque el entorno ofrece a simple vista plenas garantías de seguridad. Se ha comprobado incluso que las páginas diseñadas han podido emular a Google Drive para poder alojar dichos archivos. ¿Quién va a sospechar de Google Drive cuando lo está utilizando a diario?
Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, señala que “los archivos son fáciles de cifrar, lo que ayuda a los ciberdelincuentes a ocultar el malware y a evadir soluciones tipo proxy, sandbox o soluciones de seguridad de correo electrónico basadas en la detección. Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML. Lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas: estas campañas eran más convincentes que las que habíamos visto antes, lo que dificulta que la gente sepa en qué archivos puede confiar y en cuáles no”.
Las técnicas de los ciberdelincuentes cambian dinámicamente
Un punto de mayor complejidad es el que se ha visto en otra campaña de infección modular, permitiendo a los hackers cambiar el modo de ataque de una forma muy dinámica. Spyware, ransomware o keylogger puede distribuirse según se quiera en mitad de un ataque o introducir nuevas características. HP Wolf Security sostiene que esta combinación de técnicas se puede dar en función del objetivo de los ladrones y también de las vulnerabilidades halladas.
“Se ha visto que los atacantes cambian constantemente de técnicas, lo que hace muy difícil que las herramientas de detección se percaten de los ataques”, afirma Ian Pratt, Jefe Global de Seguridad para Sistemas Personales de HP.
“Siguiendo el principio de Zero Trust de aislamiento de precisión, las organizaciones pueden utilizar la microvirtualización para asegurarse de que las tareas potencialmente maliciosas, como hacer clic en enlaces o abrir archivos adjuntos maliciosos, se ejecuten en una máquina virtual desechable separada de los sistemas subyacentes. Este proceso es completamente invisible para el usuario, y atrapa cualquier malware oculto en su interior, asegurando que los atacantes no tengan acceso a los datos sensibles e impidiéndoles acceder y moverse lateralmente”.
Esta virtud es propia de las soluciones de HP para la seguridad digital con el objetivo de mitigar amenazas que pueden pasar desapercibidas en los equipos de trabajo. Gracias a ello, las empresas están mejor protegidas y los propios expertos en ciberseguridad pueden conocer nuevas tipologías de amenazas. No hay que olvidar que todo ello crear conciencia, lo cual pasa por ser el aspecto más decisivo para quedar protegidos. Aunque nos armemos de prudencia, también hay que decir que no todo son virus y malware.
Hasta el momento, los clientes de HP han clicado en más de 18.000 millones de archivos adjuntos en su mail, páginas web o archivos descargados sin que se hayan registrado infracciones. Seguramente muchos de estos ficheros eran archivos ZIP, con lo que no hay que demonizar a este formato porque siempre ha funcionado a las mil maravillas. Solo hay que extremar la vigilancia en caso de que a uno la redirijan a una página, por conocida que sea.