Sabías que los formatos ZIP y RAR son los más utilizados para la distribución de malware

Siempre ten cuidado con los archivos comprimidos, te puedes llevar una sorpresa.

Los formatos ZIP y RAR son los más utilizados para la distribución de malware
Los formatos ZIP y RAR son los más utilizados para la distribución de malware

En la actualidad, los archivos ZIP y RAR son conocidos como los formatos más usados para enviar programas con contenidos maliciosos, superando así a los formatos Office por mucho en tres años.

En los últimos años, el 44% de los malware distribuidos mediante archivos comprimidos, representado el 11% en comparación al los tres meses anteriores, según HP Wolf, luego de realizar un análisis de miles de terminales.

Los formatos ZIP y RAR son los más utilizados para la distribución de malware
Los formatos ZIP y RAR son los más utilizados para la distribución de malware

Por otro lado, el 32% de malware fueron distribuidos mediante archivos con formatos de Office, tales como Microsoft Word, Excel y PowerPoint.

¿Qué es un formato ZIP?

Este formato para archivos el usado principalmente para comprimir varios archivos en un solo espacio, lo que reduce el tamaño facilitando la transportación de archivos.

Los archivos almacenados en formato ZIP, contienen un comprimido del contenido, reduciendo la cantidad de espacio de almacenamiento en tu dispositivo o computador.

Es por eso que si quieres comprimir un archivo que vaya a ocupar mucho espacio de almacenamiento en tu computador, esta es la opción perfecta para ti.

¿Qué es un formato RAR?

Este tipo de archivos por lo general son parte de WinRAR de RARLAB, un archivo comprimido atreves del formato RAR. Esto con el fin de almacenar archivos, reduciendo su tamaño en un solo grupo de archivos y carpetas.

Cabe destacar que este formato, tiene mejor capacidad de compresión que el formato ZIP.

Campañas utilizadas para enviar malware

Un grupo de expertos estuvo analizando ciertas campañas que han sido utilizadas por los ciberdelincuentes, con el fin de alojar archivos maliciosas en ficheros HTML. Esto con el fin de evadir los puentes de correos electrónicos y enviar ciber ataques

Según el equipo de Wolf Security explicó que, en las campañas realizadas recientemente de QakBot e IceID se han estado utilizando este tipo de archivos, con el fin de enviar a los usuarios a visualizadores de documentos en línea falsos, pensando que eran visores de Adobe.

Posteriormente, se solicitaba a los usuarios abrir un archivo ZIP e introducir un clave para proceder con la descompresión del archivo, introduciendo un malware en el computador.

Puesto que el virus esta en un archivo HTML se encuentra cifrado, haciendo que detectar el malware sea complicado. El ataque se lleva a cado de una manera, que hace que las victimas caigan en la trampa y abran los archivos con virus.

Según afirmaciones del principal analista en malware, Alex Holland, los archivos con este tipo de formatos de compresión están cifrados, por lo que le es fácil a los ciber delincuentes ocultar los virus en el archivo y evadir el escáner de correos electrónicos.

Por lo tanto, los ataques suelen ser de difícil detección, mucho más aun, unidos con  estrategias de contrabando HTML.

Este grupo de expertos además añadió, que los ciberdelincuentes al cambiar la carga útil a spyware o ransomware, y añadir novedosas funciones como geo-fencing en medio de la campaña. Esto supone, que las amenazas se podrán adaptar sus estrategias al objetivo del ataque.

Cómo saber sí un archivo comprimido tiene un malware 

  • El software WinRAR realmente no puede detectar malware por sí solo, es por eso que necesita que el dispositivo tenga instalado algún antivirus para proteger el sistema. En el caso de no tener uno no abra forma de que se pueda utilizar esta función.
  • Tampoco genera notificación alguna luego de completar la orden, por lo que el usuario debe verificar mediante el antivirus si se han encontrado malware en el sistema.
  • Luego de descomprimir los archivos en la carpeta temporal, debe verificarse que se dispone de espacio suficiente, antes de usar el antivirus. Para de esta forma saber si se cuenta con el espacio suficiente para almacenar los ficheros.
  • El software tiene la capacidad para detectar cualquier programa antivirus, por lo que no se necesita modificar el campo de “nombre del antivirus”. Con solo seleccionar el programa antivirus en la lista y listo.
  • También es capaz de guardar la configuración de valores del último antivirus actualizado y restaurarlo cuando se activa la orden nuevamente.