(https://i.postimg.cc/B6gLBFRx/Matriuska-Cat.png) (https://postimg.cc/8J7z17p5)
Los investigadores de seguridad han descubierto que los actores maliciosos han estado utilizando la concatenación de archivos ZIP para evitar la detección del malware que contienen. Esta técnica implica la combinación de varios archivos ZIP, con el malware almacenado en uno de los archivos internos, lo que dificulta que el software antimalware lo descubra. Además, los investigadores de Perception Point (h/t BleepingComputer) observaron que las diferentes formas en que los tres archivadores de archivos más populares (7zip, WinRAR y Windows File Explorer) manejan los archivos concatenados afectan las tasas de detección en este tipo de ataque.
Los archivos ZIP suelen tener un único directorio central que le indica al software de archivado dónde se encuentra cada archivo individual dentro del archivo y dónde comienzan y terminan sus datos. Sin embargo, los archivos concatenados tienen dos o más directorios centrales, y el archivador de archivos solo abre un directorio central cuando un usuario obtiene una vista previa de su contenido. Por ejemplo, 7zip solo muestra el primer directorio central, mientras que WinRAR mostraría el segundo. Por otro lado, el Explorador de archivos de Windows se niega rotundamente a abrir archivos ZIP concatenados (pero abriría el segundo directorio si el archivo se renombra como un archivo .RAR).
Por lo tanto, si el archivo malicioso se almacena en el segundo directorio, los usuarios que lo descompriman con 7zip no verán el malware en absoluto: solo se verá y descomprimirá el primer directorio benigno. La única indicación de que hay otro archivo en el archivo es la advertencia que aparece en la ventana de extracción: "Hay algunos datos después del final de los datos de carga útil". Pero si usa WinRAR o el Explorador de archivos de Windows (con un archivo .RAR concatenado), podrá ver y descomprimir el archivo de malware.
Tenga en cuenta que es probable que se trate de un comportamiento intencionado en función de los casos de uso populares de algunos programas de archivado. La mayoría de los usuarios expertos en tecnología, incluidos los desarrolladores y los profesionales de la ciberseguridad, prefieren 7zip. Por lo tanto, si abren el archivo sospechoso, que normalmente se envía a través de un correo electrónico de phishing, no verán el programa malicioso, lo que permitirá que el vector de ataque pase desapercibido. Por otro lado, algunos abrirían el archivo directamente en el Explorador de archivos de Windows o en WinRAR. Dado que el archivo se envía a través de un correo electrónico de phishing, los usuarios no expertos en tecnología son los objetivos obvios de este ataque. Cuando abren el archivo infectado, este podría conectarse a Internet para descargar ransomware, troyanos bancarios y otros tipos de malware más avanzado.
Este no es el primer ataque malicioso que se aprovecha de las peculiaridades y características del software de archivo. Por ejemplo, un investigador de seguridad descubrió anteriormente el ataque "Zip Bomb", en el que un único archivo de 46 MB se expandió hasta convertirse en una enorme carpeta de 4,5 PB, lo que potencialmente hizo que el sistema se bloqueara al abrirla. En contexto, esa cantidad de almacenamiento equivale a 4500 millones de fotos de alta calidad de 1 MB cada una o más de 366 años de vídeo de alta definición si una hora consume 1,4 GB. Esto demuestra que, si bien el software de seguridad es una parte importante de la ciberseguridad, saber qué archivos son sospechosos sigue siendo la primera línea de defensa del usuario.
Fuente:
Tom´s Hardware
https://www.tomshardware.com/tech-industry/cyber-security/hackers-bury-malware-in-new-zip-file-attack-combining-multiple-zips-into-one-bypasses-antivirus-protections