- El informe de Cofense afirma que los actores de amenazas están manipulando extensiones para evadir eficazmente los filtros de archivos SEG
- Las defensas multicapa son esenciales para combatir las amenazas de malware basadas en archivos
- La concienciación de los empleados fortalece las defensas contra archivos sospechosos
El uso de archivos comprimidos como mecanismos de entrega de malware está evolucionando, lo que plantea desafíos para las puertas de enlace de correo electrónico seguras (SEG), según afirma una nueva investigación.
A Informe final de Cofense destaca cómo los ciberdelincuentes están explotando varios formatos de archivo para eludir los protocolos de seguridad, especialmente después de una importante actualización de Windows a finales de 2023. Tradicionalmente, los archivos .zip han sido el formato de archivo más común utilizado en campañas de malware, debido a su presencia y compatibilidad en todas partes. todos los sistemas operativos. .
Sin embargo, la introducción original de Microsoft de soporte para formatos adicionales como .rar, .7z y .tar amplió el arsenal de formatos utilizados por los actores de amenazas. Estos formatos más nuevos ahora representan una proporción cada vez mayor de archivos adjuntos maliciosos observados en entornos protegidos por SEG.
Por qué los archivos funcionan como vectores de malware
Proteger archivos con contraseña es una táctica común utilizada por los atacantes, ya que impide que las herramientas automatizadas analicen el contenido del archivo.
Entre mayo de 2023 y mayo de 2024, Cofense identificó 15 formatos de archivo utilizados en campañas de malware. Si bien los archivos zip dominaron, ocupando hasta el 50%, formatos como .rar, .7z y .gz ganaron popularidad, especialmente después de la actualización de finales de 2023 de Microsoft.
Algunas familias de malware tienen preferencia por tipos de archivos específicos. Por ejemplo, StrelaStealer y NetSupport RAT se entregan constantemente mediante archivos .zip. Otro malware, como el robo de datos y los troyanos de acceso remoto (RAT), aprovechan una variedad de formatos según el método de ataque.
Los archivos protegidos por contraseña plantean otro desafío para los SEG. Si bien solo alrededor del 5% de los archivos maliciosos observados estaban protegidos con contraseña, estos archivos a menudo evaden la detección porque los SEG tienen dificultades para distinguir entre las contraseñas incluidas en los correos electrónicos señuelo. Esta táctica, combinada con URL integradas que conducen a sitios de alojamiento de malware, permite a los atacantes eludir las defensas tradicionales. .
Para contrarrestar la creciente amenaza de los archivos cargados de malware, se recomienda a las organizaciones que adopten una estrategia de defensa de múltiples capas. La concienciación de los empleados es fundamental, ya que el personal bien capacitado puede identificar archivos sospechosos, especialmente aquellos con extensiones inusuales o sufijos dobles engañosos, como “.docx.zip”.
Las organizaciones también deben limitar el uso de formatos de archivo que carecen de propósitos comerciales claros, como los archivos .vhd(x), que rara vez se necesitan para la comunicación por correo electrónico. Además, los SEG deben estar equipados con capacidades avanzadas para analizar formatos de archivos reales, identificar coincidencias y administrar archivos protegidos con contraseña.