- El informe de Cofense afirma que los actores de amenazas manipulan las extensiones para evadir eficazmente los filtros de archivos SEG
- Las defensas multicapa son esenciales para combatir las amenazas de malware basadas en archivos
- La concienciación de los empleados fortalece las defensas contra archivos sospechosos
Utilice archivos comprimidos como malware Los mecanismos de entrega están evolucionando, lo que presenta desafíos para las puertas de enlace de correo electrónico seguras (SEG), según afirma una nueva investigación.
A Último informe Cofense destaca cómo los ciberdelincuentes están explotando diferentes formatos de archivo para eludir los protocolos de seguridad, especialmente después de la importante actualización de Windows a finales de 2023. Tradicionalmente, los archivos .zip han sido el formato de archivo más popular utilizado en campañas de malware debido a su ubicuidad y compatibilidad en todas partes. el mundo. Sistemas operativos.
pero, microsoftProporcionar soporte nativo para formatos adicionales como .rar, .7z y .tar ha ampliado el arsenal de formatos utilizados por los actores de amenazas. Estos formatos más nuevos ahora representan una proporción cada vez mayor de archivos adjuntos maliciosos observados en entornos protegidos por SEG.
Por qué los archivos actúan como vectores de malware
Los archivos protegidos con contraseña son una táctica común utilizada por los atacantes, que impide que las herramientas automatizadas analicen el contenido del archivo.
Entre mayo de 2023 y mayo de 2024, Cofense identificó 15 formatos de archivo utilizados en campañas de malware. Si bien los archivos .zip dominaron, representando hasta el 50%, formatos como .rar, .7z y .gz han ganado popularidad, especialmente después de la actualización de finales de 2023 de Microsoft.
Algunas familias de malware prefieren ciertos tipos de archivos. Por ejemplo, StrelaStealer y NetSupport RAT se entregan constantemente mediante archivos .zip. Otros programas maliciosos, como los ladrones y los troyanos de acceso remoto (RAT), utilizan una variedad de formatos según el método de ataque.
Los archivos protegidos por contraseña plantean un desafío adicional para los SEG. Si bien solo alrededor del 5% de los archivos maliciosos observados estaban protegidos con contraseña, estos archivos a menudo evaden la detección porque los SEG tienen dificultades para distinguir entre las contraseñas incluidas en correos electrónicos atractivos. Esta táctica, combinada con URL integradas que conducen a sitios que alojan malware, permite a los atacantes eludir las defensas tradicionales.
Para abordar la creciente amenaza de los archivos cargados de malware, se recomienda a las organizaciones que adopten una estrategia de defensa de múltiples capas. La concienciación del personal es crucial, ya que el personal bien capacitado puede reconocer archivos sospechosos, especialmente aquellos con extensiones inusuales o terminaciones dobles engañosas, como “.docx.zip”.
Las organizaciones también deberían restringir el uso de formatos de archivo que carecen de propósitos comerciales claros, como los archivos .vhd(x), que rara vez son necesarios para las comunicaciones por correo electrónico. Además, los SEG deben estar equipados con capacidades avanzadas para analizar formatos de archivos reales, detectar inconsistencias y administrar archivos protegidos con contraseña.