Expertos en seguridad han descubierto una nueva técnica de ataque que están usando los hackers y que les permite infectar ordenadores con un alto nivel de éxito. Para hacerlo, se aprovechan de las debilidades que tienen los archivos ZIP y la forma en la que los antivirus y los programas los analizan.
El equipo de especialistas de Perception Point ha cazado a una serie de hackers que están utilizando esta nueva técnica de la que te hablamos. Como mencionan, parece que se trata de una tendencia al alza, así que sería importante estar al tanto de lo que supone la amenaza.
Encadenando archivos ZIP
Lo de encadenar archivos ZIP hasta el infinito no es algo nuevo. De manera particular muchos usuarios lo han utilizado como sistema de seguridad y privacidad durante años. Solo tienes que ir metiendo un ZIP en otro ZIp en otro ZIP hasta que te canses y luego dejar los archivos protegidos en el último de ellos. No obstante, los hackers, cómo no, han encontrado la forma de evolucionar este proceso para que se pueda transformar en una técnica de ataque que resulte muy maliciosa.
Y lo que están haciendo es justamente eso, encadenar archivos ZIP, pero de una manera tan desarrollada que los sistemas de seguridad acaban por no detectar la amenaza que se esconde dentro. La concatenación de archivos ZIP podría ser una de las principales amenazas de final de 2024, aunque la buena noticia es ver que se han activado las alarmas y que eso seguro que hace que los expertos se pongan las pilas.
¿En qué consiste el ataque?
Para comenzar, los hackers parten de la creación de un mínimo de dos archivos ZIP, pero normalmente es una mayor cantidad. En uno de ellos al azar esconden la infección, que se trata de un malware de tipo troyano dirigido a desbaratar todas las defensas de los equipos afectados. Los demás archivos ZIP están llenos de contenido, pero resulta totalmente inocuo. La trampa está en que esos otros archivos ZIP sirven de cobertura para que, aparentemente, todo parezca que se encuentra en orden.
Luego estos archivos se encadenan uno con otro mediante la información de datos binarios y, entre todos ellos, se crea un archivo ZIP que es el que se manda de manera directa a la víctima. Como ya te puedes imaginar, lo que recibe el usuario es un solo archivo y luego, en su interior, es donde se encuentra una robusta estructura de documentos, carpetas y archivos con sus propios marcadores establecidos por los hackers. A partir de aquí, la manera en la que está preparado el archivo ZIP de la infección genera una respuesta distinta dependiendo del programa con el que se abra.
Desde Perception Point solicitan a empresas y usuarios que quieran evitar riesgos que utilicen programas que les proporcionen garantías y seguridad en los procesos de apertura de estos archivos. Ellos han hecho una prueba con tres programas distintos: 7zip, el Explorador de archivos de Windows y WinRAR. Los resultados han variado sensiblemente entre un caso y otro.
WinRar, al analizar la estructura de carpetas del ZIP, muestra todos los archivos, incluyendo el que está infectado con el virus. En el caso del Explorador de archivos de Windows, mencionan que es común que se genere un error y que no pueda abrir el archivo. Sí que lo abriría en el caso de que el usuario cambiase la extensión de ZIP por WinRar, pero mostrando únicamente hasta el segundo ZIP de la serie. Por último, con 7zip solo se lee el primero de los archivos ZIP, dejando el resto en el aire. Eso sí, al menos muestra un mensaje indicando que, al descomprimir todo el ZIP, se podrían descargar archivos desconocidos. Pero, en cualquier caso, no parece suficiente medida defensiva. Dicho esto, los expertos en seguridad que han realizado el descubrimiento remarcan la importancia de tener cuidado con los archivos ZIP que se abren, sobre todo si tienen una estructura de ZIPs internos como los que hemos mencionado.
