La modalidad oculta elementos maliciosos en archivos comprimidos para que parezcan inofensivos incluso al ser examinados por los programas antivirus.
En el ámbito de la ciberseguridad, los riesgos se multiplican conforme los actores maliciosos idean nuevas formas de atrapar a sus víctimas. Una técnica conocida como “Zombie ZIP” vuelve a encender las alarmas, tratándose de una modalidad de ataque capaz de burlar las protecciones de los dispositivos.
Un detalle: no es un engaño nuevo, aunque sigue afectando a muchos usuarios que confían en la eficiencia de los programas antivirus.
¿Qué es Zombie ZIP?
Un informe del sitio Bleeping Computer da cuenta de la peligrosidad de esta técnica, cuya popularidad ha crecido entre los ciberdelincuentes. ¿En qué consiste la modalidad de ataque? Los archivos maliciosos se ocultan en archivos comprimidos (en formato ZIP) y pasan desapercibidos en los escaneos que realizan los programas de seguridad, como los sistemas antivirus.
Los nuevos hallazgos en torno a la técnica Zombie ZIP fueron realizados por un investigador de seguridad informática de la firma Bombadil Systems, Chris Azis. El especialista explicó que, con este ardid, los atacantes toman provecho del modo en que los dispositivos leen la información para que el malware no sea detectado, camuflándolo en la carpeta comprimida.
La conclusión es alarmante: Aziz puso a prueba la técnica con 51 programas antivirus y solamente uno de ellos logró identificar el riesgo en el archivo ZIP. El resto de los softwares de seguridad no detectó problemas y permitió la descompresión.
Es la gloria para los piratas informáticos, porque convierte a los riesgos en elementos indetectables, como si se tratase de fantasmas. Ahora bien, ¿cómo logran eludir las salvaguardas de los programas antivirus?
El secreto de este engaño es relativamente simple y radica en cómo se etiqueta el archivo. Los atacantes indican que el fichero contiene datos sin comprimir. El sistema de seguridad hace su análisis, se “marea” porque efectivamente hay una compresión (a diferencia de aquello que dice el etiquetado), y finalmente indica que no hay virus.
Siguiendo a la fuente, en este punto comienza la infección. Al identificar el mencionado error, es posible que el usuario borre el archivo. Pero el código malicioso inicia su trabajo con un cargador que extrae el virus.
Un detalle sorprendente es que esta técnica no es nueva, ni mucho menos. Se emplea al menos hace dos décadas y aún sigue confundiendo a los programas antivirus.
