Los Ciberdelincuentes están constantemente inventando nuevas formas de distribuir malware sin que las soluciones de seguridad los noten. Investigadores de seguridad de Trustwave han observado una de estas técnicas en una nueva campaña de phishing que aprovecha un archivo ZIP especialmente diseñado, diseñado para evitar pasarelas de correo electrónico seguras, para distribuir NanoCore RAT.
La estructura de un archivo ZIP contiene datos comprimidos, información sobre los archivos comprimidos y un solo registro de "Fin del directorio central" (EOCD), que delimita el final de la estructura del archivo. La campaña observada utilizó mensajes de información de envío falsos que pretendían ser de un Especialista en Operaciones de Exportación de USCO Logistics. El archivo ZIP, denominado "SHIPPING_MX00034900_PL_INV_pdf.zip", adjunto a los correos electrónicos, generó sospechas debido a que su tamaño de archivo era significativamente mayor que el de su contenido sin comprimir. Por lo general, explicaron los investigadores, el tamaño del archivo ZIP debe ser menor que el contenido sin comprimir o, en algunos casos, los archivos ZIP crecerán más que los archivos originales en un número razonable de bytes.
Profundizando, los investigadores encontraron que el archivo ZIP contenía dos estructuras de archivo distintas que tenían su propio registro EOCD.
“Después del primer EOCD vienen algunos datos adicionales: otra estructura de archivo ZIP. Resulta que la primera estructura ZIP es para el archivo de imagen "order.jpg", mientras que la segunda es para un archivo ejecutable "SHIPPING_MX00034900_PL_INV_pdf.exe". Ambos se comprimen cuando se archivan, y ambos indican que son el único archivo en sus estructuras ZIP como se indica en sus encabezados de archivos locales y EOCD respectivamente ", dijo el equipo de Trustwave.
El archivo "order.jpg" es un archivo de imagen con formato PNG no malicioso, que se utiliza para ocultar el contenido de la otra estructura ZIP - "SHIPPING_MX00034900_PL_INV_pdf.exe", que en realidad es una RAT NanoCore. Al usar este malware, los atacantes pueden tomar el control completo de la máquina comprometida. En la campaña observada, los piratas informáticos utilizaron NanoCore 1.2.2.0 RAT que ha estado disponible gratuitamente en Dark Web hace solo unos meses.
Al intentar abrir el archivo, los investigadores experimentaron con varios programas de extracción de archivos y notaron que el archivo era tratado de manera diferente programa por programa. Si bien el extractor ZIP incorporado de Windows dijo que el archivo no era válido y no lo extraería, ciertas versiones de PowerArchiver, WinRar y 7-Zip pudieron extraer correctamente el ejecutable de NanoCore. Cuando los investigadores intentaron abrir el archivo ZIP con WinRar versión 3.30, el software mostró en su interfaz de usuario el "pedido.jpg" como el único contenido del archivo adjunto ZIP, pero en realidad extrajo el ejecutable "SHIPPING_MX00034900_PL_INV_pdf.exe".
“Esta muestra desafía a los escáneres de puertas de enlace. Dependiendo del tipo de motor de descompresión utilizado, existe una buena probabilidad de que solo el archivo señuelo pueda ser examinado y examinado, y que el contenido malicioso pase desapercibido, al igual que algunas de las herramientas de archivo más populares no notaron la segunda estructura ZIP ".
"A pesar de lo que hace la puerta de enlace, este ataque solo tendrá éxito si el mensaje pasa a través de la puerta de enlace y el usuario final utiliza una utilidad de archivo particular, como ciertas versiones de PowerArchiver, WinRar y 7Zip anteriores como se describió anteriormente". Los investigadores concluyeron .
