El archivo adjunto inusual del ataque de phishing es un arma de doble filo

Un actor de amenazas utiliza un ataque inusual para eludir el software de seguridad, que es un arma de doble filo que podría funcionar en su contra.

A medida que las puertas de enlace de correo electrónico seguras y el software de seguridad se vuelven más avanzados y se adaptan a las campañas de phishing en constante cambio, los actores de amenazas recurren a formatos de archivo más inusuales para evitar la detección.

En el pasado, las estafas de phishing se convertían en archivos adjuntos inusuales, como archivos ISO o archivos TAR, que no se encuentran comúnmente como archivos adjuntos de correo electrónico.

Sin embargo, a medida que los actores de amenazas adoptan archivos adjuntos nuevos e inusuales, las empresas de ciberseguridad agregan más detecciones para bloquearlos.

Usar WIM para evitar la seguridad

En un nuevo informe de Trustwave, los investigadores explican cómo un actor de amenazas comenzó a usar archivos adjuntos de Windows Imaging Format (WIM) para distribuir el troyano de acceso remoto Agent Tesla.

"Todos los archivos WIM que recopilamos de nuestras muestras contienen el malware Agent Tesla. Esta amenaza es un troyano de acceso remoto (RAT) escrito en .Net que puede tomar el control total de un sistema comprometido y puede filtrar datos a través de HTTP. SMTP, FTP y Telegram ", explica Diana Lopera, investigadora de seguridad de Trustwave en relación.

Estas campañas comienzan con correos electrónicos de phishing que pretenden ser información de envío de DHL o Alpha Trans, como se muestra a continuación.

Correo electrónico de phishing que distribuye archivos WIM
Correo electrónico de phishing que distribuye archivos WIM
Fuente: TrustWave

Los correos electrónicos incluyen archivos adjuntos .wim (a veces terminan con .wim o .wim.001) diseñados para evitar el software de seguridad.

Los archivos de formato de imagen de Windows (WIM) son un formato de imagen de disco basado en archivos que Microsoft desarrolló para facilitar la implementación de Windows Vista y sistemas operativos posteriores.

Los archivos WIM se utilizan para comprimir una unidad completa, con todos sus archivos y carpetas, en un solo archivo para una fácil distribución.

Como puede ver a continuación, cuando abre uno de estos archivos adjuntos WIM en un editor hexadecimal, muestra claramente que hay un ejecutable dentro de él.

Modificación hexadecimal de un adjunto WIM
Modificación hexadecimal de un adjunto WIM

Sin embargo, aunque es menos probable que se detecten los archivos WIM, las campañas de phishing que los utilizan tienen un problema mayor, ya que Windows no tiene un mecanismo integrado para abrir un archivo WIM.

Por lo tanto, cuando un usuario intenta abrir el archivo adjunto en Windows, simplemente recibirá un mensaje que le pedirá que seleccione el programa para abrir el archivo, como se muestra a continuación.

Abrir un archivo WIM en Windows
Abrir un archivo WIM en Windows

Este formato de archivo requeriría que el destinatario hiciera todo lo posible y extrajera el archivo utilizando un programa como 7-zip y luego haga doble clic en el archivo dentro de él, lo que es muy poco probable que suceda.

Extracción de archivos WIM con 7-Zip
Extracción de archivos WIM con 7-Zip

Los accesorios inusuales son un arma de doble filo

Si bien el uso de un archivo adjunto poco común puede eludir algunos filtros de seguridad, también es probable que sean un arma de doble filo para el creador de amenazas.

Esto se debe a que la mayoría de los dispositivos que no tienen programas especializados, como 7-zip instalado, no abrirán los archivos y los destinatarios que harán un esfuerzo adicional para extraer los archivos.

"Encapsular malware en un formato de archivo inusual es una de las formas más comunes de eludir pasarelas y escáneres. Sin embargo, esta estrategia también plantea un obstáculo: el sistema de destino debe reconocer el tipo de archivo o al menos tener una herramienta capaz de descomprimir y procesando el archivo ", dice Lopera.

"A diferencia de los archivos de imagen de disco .IMG e .ISO más populares, los archivos WIM no son compatibles con la capacidad incorporada de Windows para montar archivos de imagen de disco. Además, las otras utilidades de archivo populares WinRAR y WinZip no reconocen el disco imagen WIM. Los archivos WIM se pueden procesar con el popular 7Zip ".

Las puertas de enlace de correo electrónico seguras pronto bloquearán estos archivos adjuntos si aún no lo han hecho. Sin embargo, si encuentra un correo electrónico con un archivo adjunto WIM, simplemente elimínelo, ya que ningún correo electrónico legítimo utilizará este formato de archivo.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir