Los archivos ZIP se utilizan para evitar las puertas de enlace de seguridad

Los archivos ZIP se utilizan para evitar las puertas de enlace de seguridad

Los investigadores de seguridad de Trustwave descubrieron una nueva campaña de phishing utilizando un archivo ZIP especialmente diseñado para evitar las puertas de enlace de mensajería seguras para distribuir el archivo NanoCore RAT.

Los usuarios se dirigen a través de un correo electrónico que pretende ser información de envío de un especialista en operaciones de exportación de USCO Logistics. Un archivo ZIP asociado con un correo electrónico tiene un tamaño de archivo mayor que su contenido sin comprimir.

En un nuevo informe, Trustwave explicó por qué el tamaño del ZIP despertó la desconfianza de sus investigadores:

"El archivo adjunto" SHIPPING_MX00034900_PL_INV_pdf.zip "muestra este mensaje: el archivo ZIP era mucho más grande en tamaño de archivo que su contenido sin comprimir y, por lo general, el tamaño del archivo ZIP debería ser menor que el contenido sin comprimir, o en algunos casos, los archivos ZIP serán más grandes que los archivos originales en un número razonable de bytes ".

Archivos ZIP sospechosos

Además de una estructura especial que contiene los datos comprimidos y la información sobre los archivos comprimidos, cada archivo ZIP también contiene un único registro EOCD (Fin del Directorio Central) utilizado para indicar el final de la estructura del archivo.

Sin embargo, cuando los investigadores de Trustwave examinaron el archivo ZIP adjunto al correo basura, encontraron que el archivo ZIP contenía dos estructuras de archivo separadas, cada una con su propio registro EOCD. Un archivo ZIP debe contener solo un registro EOCD, que muestra que el archivo ZIP creado por los atacantes ha sido modificado para contener dos estructuras de archivo.

La primera estructura ZIP actúa como señuelo y contiene un archivo de imagen inofensivo llamado order.jpg. La segunda estructura ZIP, por otro lado, contenía un archivo ejecutable que contenía el troyano NanoCore Remote Access Trojan (RAT). Trustwave luego determinó que los atacantes habían creado este archivo ZIP especialmente diseñado para evitar las puertas de enlace de mensajería segura.

Mientras intentaban abrir el archivo con la ayuda de varios programas de extracción de archivos, los investigadores descubrieron que el archivo era tratado de manera diferente programa por programa. Si bien el extractor ZIP basado en Windows indicó que el archivo no era válido y no lo exportó, Trustwave descubrió que algunas versiones de PowerArchiver, WinRar y 7-Zip podían extraer correctamente el ejecutable de NanoCore.

La técnica utilizada por los atacantes podría permitirles proporcionar cargos maliciosos capaces de eludir los analizadores de correo electrónico, pero debido al modo operativo de los programas de extracción de archivos, el número de usuarios infectados sería menor que número planeado originalmente.

Troch de bliedende kompjûter