Los archivos comprimidos «.ZIP» superan por primera vez a los documentos de Office como tipo de archivo malicioso más común. Así se ha destacado en el informe de HP Wolf, HP Wolf Security Threat Insights.
El informe ha descubierto que el 44% del malware se distribuyó dentro de archivos comprimidos, un 11% más que en el trimestre anterior, en comparación con el 32% que se distribuyó a través de archivos de Office como Microsoft Word, Excel y PowerPoint.
“Los archivos son fáciles de cifrar, lo que ayuda a los ciberdelincuentes a ocultar el malware y a evadir soluciones tipo proxy, sandbox o soluciones de seguridad de correo electrónico basadas en la detección. Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML”, explica Alex Holland, analista principal de malware del equipo de investigación de amenazas de HP Wolf Security.
Archivos ZIP
El informe ha identificado varias campañas que combinaban el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML. Por ejemplo, las recientes campañas de QakBot y IceID utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos online que se hacían pasar por Adobe.
Como el malware dentro del archivo HTML original está codificado y encriptado, la detección por parte de las soluciones de seguridad enfocadas en el correo electrónico u otras herramientas de seguridad es muy difícil.
Los archivos comprimidos «.ZIP» superan por primera vez a los documentos de Office como tipo de archivo malicioso más común
En su lugar, el atacante se basa en la ingeniería social, creando una página web convincente y bien diseñada para engañar a los usuarios y que inicien así el ataque abriendo el archivo ZIP malicioso.
HP Wolf Security Threat Insights
HP también identificó una campaña compleja que utiliza una cadena de infección modular, lo que podría permitir a los atacantes cambiar dinámicamente el método de ataque en mitad del ataque o introducir nuevas características, como el geo-fencing., una tecnología que funciona con la ubicación proporcionada por el GPS y el uso de los datos de un dispositivo móvil.
Esto podría permitir a los ciberdelincuentes cambiar de táctica en función del objetivo que haya vulnerado. Al no incluir el malware directamente en el archivo adjunto enviado al objetivo, también es más difícil que las puertas de enlace del correo electrónico detecten este tipo de ataque.