Clicky

Hackers utilizan archivos ZIP y de Office corruptos para evadir las defensas antivirus y de correo electrónico

archivos corruptos ZIP y Office

Están dañados intencionalmente y no pueden ser escaneados por herramientas de seguridad

Investigadores de ciberseguridad han llamado la atención sobre una novedosa campaña de phishing que aprovecha documentos corruptos de Microsoft Office y archivos ZIP como forma de eludir las defensas del correo electrónico.

"El ataque en curso evade el software antivirus, impide las cargas a entornos sandbox y evita los filtros de spam de Outlook, lo que permite que lleguen a su bandeja de entrada los correos electrónicos maliciosos", dijo ANY.RUN en una serie de publicaciones en X.

La actividad maliciosa implica el envío de correos electrónicos que contienen archivos ZIP o adjuntos de Office que están dañados intencionalmente de tal manera que no pueden ser escaneados por herramientas de seguridad. Estos mensajes tienen como objetivo engañar a los usuarios para que abran los archivos adjuntos con falsas promesas de beneficios y bonificaciones para los empleados.

En otras palabras, el estado dañado de los archivos significa que no son marcados como sospechosos o maliciosos por los filtros de correo electrónico y el software antivirus.

Sin embargo, el ataque todavía funciona porque aprovecha los mecanismos de recuperación integrados de programas como Word, Outlook y WinRAR para relanzar dichos archivos dañados en modo de recuperación.

correos corruptos

ANY.RUN ha revelado que la técnica de ataque ha sido empleada por actores de amenazas al menos desde agosto de 2024, describiéndola como un posible día cero que está siendo explotado para evadir la detección.

El objetivo final de estos ataques es engañar a los usuarios para que abran documentos con trampas, que contienen códigos QR que, cuando se escanean, redirigen a las víctimas a sitios web fraudulentos para implementar malware o páginas de inicio de sesión falsas para robar credenciales.

Los hallazgos ilustran una vez más cómo los actores maliciosos están constantemente en busca de técnicas nunca antes vistas para evadir el software de seguridad de correo electrónico y garantizar que sus correos electrónicos de phishing lleguen a las bandejas de entrada de sus objetivos.

"Aunque estos archivos funcionan correctamente dentro del sistema operativo, la mayoría de las soluciones de seguridad no los detectan debido a que no se aplican los procedimientos adecuados para sus tipos de archivos", afirmó ANY.RUN.

"El archivo sigue siendo indetectable para las herramientas de seguridad, pero las aplicaciones de usuario lo gestionan sin problemas gracias a los mecanismos de recuperación integrados que aprovechan los atacantes".

Jesus_Caceres