Ojo: estos son los archivos que más contienen ‘malwares’ o ataques para el robo de datos

Una investigación determinó que el 44 % del malware distribuido durante el tercer trimestre de este año se ha encontrado dentro de archivos comprimidos ZIP y RAR, convirtiéndolos en los archivos más comunes para distribución de malware y superando la difusión de software malintencionado en archivos Office por primera vez en tres años, según un informe de HP Wolf Security.

Por su parte, el estudio realizado por la empresa tecnológica estadounidense HP, se basó en los datos recopilados de los dispositivos que ejecutan HP Wolf Security. Como resultado se identificaron campañas de ataques que combinan el uso de archivos comprimidos con nuevas técnicas de contrabando de HTML.

En estos ataques, el modus operandi de los ciberdelincuentes es incrustar archivos comprimidos maliciosos en archivos HTML, de forma que sortean las soluciones de seguridad del correo electrónico, tal y como ha informado HP en un comunicado.

Así, los ataques a través de archivos comprimidos se consolidan como los más comunes de distribución de malware (44 %), aumentando en 11 % el trimestre anterior. En base a ello, supera la distribución a través de archivos de Office como Microsoft Word, Excel y Power Point (32 %).

Hasta ahora, los archivos de Office eran los más peligrosos en este sentido, pero por primera vez en tres años, se han identificado más distribuciones de malware a través de archivos ZIP y RAR.

Un ejemplo de campañas de este estilo son las de QakBot y IceID, que utilizaban archivos HTML para dirigir a los usuarios a falsos visores de documentos online que se hacían pasar por Adobe. Tras ello, se pedía a los usuarios abrir el archivo ZIP y que introdujeran una contraseña para poder descomprimir los archivos. Una vez descomprimidos el malware se desplegaba en sus equipos.

Este sistema consigue evadir las soluciones de seguridad enfocadas en el correo electrónico, como proxy o sandbox, y otras herramientas de seguridad, porque el malware dentro del archivo HTML original está codificado y encriptado, lo que hace su detección muy difícil.

Además, el atacante utiliza ingeniería social para engañar al usuario mediante la creación de una página web convincente y bien diseñada. Incluso, este estudio también descubrió que los ciberdelincuentes utilizaban páginas falsas de Google Drive para ganar confianza.

Al respecto, el analista principal de malware del equipo de investigación de amenazas de HP Wolf Security, Alex Holland, ha insistido en que lo interesante de las campañas de QakBot y IceID fue el esfuerzo realizado para crear las páginas falsas. “Estas campañas eran más convincentes que las que habíamos visto antes, lo que dificulta que la gente sepa en qué archivos puede confiar y en cuáles no”, ha dicho.

Por otra parte, HP también identificó una campaña de ataques que funciona mediante el uso de una cadena de infección modular. Este tipo de ataques tienen un carácter complejo, ya que permite a los atacantes cambiar el método de ataque en función del objetivo que haya vulnerado o introducir nuevas características mientras se está ejecutando.

Es decir, los ciberdelincuentes podrían atacar con spyware para compartir información del usuario a una entidad externa o cambiar a ramsomware y secuestrar datos del usuario, según el objetivo que hayan vulnerado. Además, pueden introducir nuevas características como el geo-fencing, cuya tecnología utiliza la ubicación proporcionada por el GPS y el uso de datos de un dispositivo móvil.

Igualmente, al no introducir el malware directamente en el archivo adjunto enviado al objetivo, es más complicado detectar este tipo de ataque.

*Con información de Europa Press.