Archivos ZIP y Office corruptos pueden evadir las herramientas de seguridad
Los archivos ZIP y Office corruptos pueden evadir las herramientas de seguridad y eludir las defensas de correo electrónico.
Los investigadores de ciberseguridad han llamado la atención sobre una nueva campaña de phishing que utiliza documentos de Microsoft Office y archivos ZIP corruptos como una forma de eludir las defensas de correo electrónico.
«El ataque en curso evade el software antivirus, impide las cargas a los entornos de prueba y pasa por alto los filtros de spam de Outlook, permitiendo que los correos electrónicos maliciosos lleguen a tu bandeja de entrada», dijo ANY.RUN en una serie de publicaciones en X.
La actividad maliciosa implica el envío de emails que contienen archivos ZIP o adjuntos de Office y están intencionalmente corruptos de tal manera que no pueden ser escaneados por las herramientas de seguridad. Estos mensajes buscan engañar a los usuarios para que abran los adjuntos con falsas promesas de beneficios y bonificaciones para empleados.
En otras palabras, el estado corrupto de los archivos significa que no están marcados como sospechosos o maliciosos por los filtros de correo electrónico y el software antivirus.
Sin embargo, el ataque aún funciona porque aprovecha los mecanismos de recuperación integrados de programas como Word, Outlook y WinRAR para relanzar dichos archivos dañados en modo de recuperación.
Pasos del Ataque
- Se recibe un archivo adjunto de correo electrónico, identificado como un archivo ZIP o un documento de MS Office, pero está corrupto.
- Por ejemplo, al abrir un archivo de Word, la aplicación solicita restaurarlo. Veamos qué sucede si presionamos «Yes».
- Word localiza un encabezado válido para reconstruir el archivo, ya que contiene información crítica del archivo necesaria para el procesamiento.
ANY.RUN ha revelado que la técnica de ataque ha sido empleada por Hackers al menos desde agosto de 2024. Y describen la técnica como una posible vulnerabilidad de Zero Day que se explota para evadir la detección.
El objetivo final de estos ataques es engañar a los usuarios para que abran documentos trampa. Estos documentos incrustan códigos QR que son escaneados y así redirigen a las víctimas a sitios web fraudulentos. Posteriormente es cuando se realiza la implementación de malware o páginas de inicio de sesión falsas para el robo de credenciales.
Los hallazgos ilustran una vez más cómo los actores maliciosos están constantemente buscando técnicas inéditas para sortear el software de seguridad de correo electrónico y asegurar que sus correos de phishing lleguen a las bandejas de entrada de los objetivos.
«Aunque estos archivos operan con éxito dentro del sistema operativo, permanecen indetectables por la mayoría de las soluciones de seguridad debido a la falta de aplicación de procedimientos adecuados para sus tipos de archivo», dijo ANY.RUN.
«El archivo permanece indetectable por las herramientas de seguridad, pero las aplicaciones de usuario lo manejan sin problemas debido a los mecanismos de recuperación integrados explotados por los atacantes.»
Archivos ZIP y Office corruptos pueden evadir las herramientas de seguridad
Para más información contacte con ACIBIN