Estos tipos de archivos son los más utilizados por los piratas informáticos para ocultar su malware.

Los archivos ZIP y RAR han superado a los documentos de Office como el archivo más utilizado por los ciberdelincuentes para entregar malware, según un análisis de ciberataques del mundo real y datos recopilados de millones de PC. 

La investigación, basado en datos de clientes de HP Wolf Security, encontrado en el período entre julio y septiembre de este año, el 42% de los intentos de entrega de ataques de malware utilizaron archive formatos de archivo, incluidos ZIP y RAR.  

Eso significa que los ataques cibernéticos que intentan explotar los formatos ZIP y RAR son más comunes que aquellos que intentan entregar malware utilizando documentos de Microsoft Office como archivos de Microsoft Word y Microsoft Excel, que durante mucho tiempo han sido el método preferido para atraer a las víctimas para que descarguen malware. 

Según los investigadores, esta es la primera vez en más de tres años que el arcohive han superado a los archivos de Microsoft Office como el medio más común de distribución de malware. 

Cifrando cargas útiles maliciosas y escondiéndolas dentro de arcohive archivos, proporciona a los atacantes una forma de eludir muchas protecciones de seguridad. 

"ArcohiveLos correos electrónicos son fáciles de cifrar, lo que ayuda a los actores de amenazas a ocultar malware y evadir proxies web, sandboxes o escáneres de correo electrónico. Esto hace que los ataques sean difíciles de detectar, especialmente cuando se combinan con técnicas de contrabando de HTML”, dijo Alex Holland, analista senior de malware en el equipo de investigación de amenazas de HP Wolf Security. 

También: Ciberseguridad: estas son las nuevas cosas de las que preocuparse en 2023

En muchos casos, los atacantes crean correos electrónicos de phishing que parecen provenir de marcas conocidas y proveedores de servicios en línea, que intentan engañar al usuario para que abra y ejecute el archivo ZIP o RAR malicioso.  

Esto incluye el uso de archivos HTML maliciosos en correos electrónicos que se hacen pasar por documentos PDF, que si se ejecutan, muestran un visor de documentos en línea falso que decodifica el arco ZIP.hive. Si el usuario lo descarga, lo infectará con malware. 

Según el análisis de HP Wolf Security, una de las campañas de malware más notorias que ahora confía en ZIP archives y archivos HTML maliciosos es Qakbot, una familia de malware que no solo se usa para robar datos, sino que también se usa como puerta trasera para implementar ransomware. 

Qakbot resurgió en septiembre, con mensajes maliciosos enviados por correo electrónico que afirmaban estar relacionados con documentos en línea que debían abrirse. Si el arcohive se ejecutó, usó comandos maliciosos para descargar y ejecutar la carga útil en forma de una biblioteca de enlaces dinámicos, luego se lanzó usando herramientas legítimas, pero comúnmente abusadas, en Windows. 

Poco después, los ciberdelincuentes que distribuyen IcedID, una forma de malware que se instala para permitir ataques prácticos de ransomware operados por humanos, comenzaron a usar una plantilla casi idéntica a la que usa Qakbot para abusar de arc.hive archivos para engañar a las víctimas para que descarguen malware.  

Ambas campañas se esforzaron por garantizar que los correos electrónicos y las páginas HTML falsas parecieran legítimos para engañar a tantas víctimas como fuera posible. 

“Lo interesante de las campañas de QakBot e IcedID fue el esfuerzo realizado para crear las páginas falsas: estas campañas fueron más convincentes que las que habíamos visto antes, lo que dificulta que las personas sepan en qué archivos pueden y en qué no pueden confiar. ”, dijo Holanda. 

También: Ransomware: por qué sigue siendo una gran amenaza y hacia dónde se dirigen las pandillas a continuación

También se ha visto a un grupo de ransomware abusando de los archivos ZIP y RAR de esta manera. Según HP Wolf Security, una campaña difundida por el grupo de ransomware Magniber se dirigió a los usuarios domésticos, con ataques que encriptan archivos y exigen $ 2,500 de las víctimas.  

En este caso, la infección comienza con una descarga desde un sitio web controlado por un atacante que solicita a los usuarios que descarguen un arco ZIPhive que contiene un archivo JavaScript que pretende ser un importante antivirus o una actualización de software de Windows 10. Si se ejecuta y ejecuta, descarga e instala el ransomware. 

Antes de esta última campaña de Magniber, el ransomware se propagaba a través de archivos MSI y EXE, pero al igual que otros grupos de delincuentes cibernéticos, notaron el éxito que se puede lograr con la entrega de cargas ocultas en arco.hive archivos. 

Los ciberdelincuentes cambian continuamente sus ataques y el phishing sigue siendo uno de los métodos clave para enviar malware porque a menudo es difícil detectar si un correo electrónico o un archivo son legítimos, especialmente si ya se ha colado ocultando la carga maliciosa en algún lugar donde el software antivirus puede no lo detecte. 

Se insta a los usuarios a tener cuidado con las solicitudes urgentes para abrir enlaces y descargar archivos adjuntos, especialmente de fuentes inesperadas o desconocidas.  

MÁS SOBRE CIBERSEGURIDAD