Cuando recibimos emails y descargamos archivos, normalmente pasan por diversos filtros. Por ejemplo, en el email, la propia Google escanea el archivo en busca de contenido malicioso, además de luego el antivirus que tengamos en el ordenador. El problema llega cuando con sólo comprimir el archivo en ZIP, un hacker puede colarnos un virus en el ordenador.

Un archivo ZIP que esconde un troyano en su interior

Esta es la técnica que está usando una nueva campaña de hackeo descubierta por investigadores de Trustwave, la cual busca distribuir el malware media phishing. Con ella, consiguen saltarse los filtros de los portales de correo electrónico para distribuir el malware NanoCore RAT.

El email de phishing que llega se hace pasar por una supuesta información de seguimiento de un paquete operado por la Export Operation Specialist de USCO Logistics. En el correo se dice que el usuario tiene que hacer unos trámites y descargar un archivo llamado «SHIPPING_MX00034900_PL_INV_pdf.zip«.

Curiosamente, el tamaño del archivo ZIP comprimido es mayor que el de los archivos que lleva en su interior, lo cual llamó la atención de los investigadores. Después de analizar el archivo en 010 Editor, comprobaron que había dos estructuras ZIDENDLOCATOR en lugar de una como deben tener estos archivos, lo cual indicaba que el archivo ZIP había sido diseñado para contener dos estructuras de archivos.

La primera estructura se correspondía con un archivo que hacía de señuelo, llamado order.jpg, y que no tenía ningún malware. En la segunda estructura, sin embargo, se encontraba un archivo llamado SHIPPING_MX00034900_PL_INV_pdf.exe, que es el que contiene el malware NanoCore RAT, un troyano.

WinRAR es el único de los grandes descompresores que se lo traga

Según creen los investigadores, los filtros de los servicios de email no podían descomprimir el malware, sino que en su lugar descomprimían el archivo JPG. Dependiendo del extractor de archivos utilizado, el resultado es diferente. Con el que lleva incorporado Windows 10, el archivo da error y no se descomprime. Con 7Zip se advierte de que hay datos adicionales, pero sólo descomprime el JPG. WinRAR, sin embargo, se lo tragó, y descomprimió el archivo que contenía el malware sin mostrar ninguna alerta.

Por tanto, dependiendo del motor de descompresión que se utilice, se obtiene un archivo diferente, o se genera un error. Sólo en el caso de que se use el de WinRAR, el de PowerArchiver, o el de una versión antigua de 7-ZIP, se detectaría el virus al descomprimir el archivo. Con el resto no sería posible. Sea como sea, el malware puede pasar desapercibido por los motores usados por servicios de correo, lo cual es realmente peligroso.

Al sólo funcionar con versiones concretas de descompresores, el número de infecciones se reduce, pero aumenta la probabilidad de infectar a usuarios que tengan WinRAR o versiones antiguas de 7Zip. Además, el archivo también tendría que saltarse la protección activa del antivirus, lo cual es bastante difícil.