No tienes art铆culos en tu carrito de compras.

⚠️ Nueva técnica evade antivirus usando ZIP dañados

Alertas en ciberseguridad

 Zombie ZIP:

 T茅cnica avanzada de evasi贸n contra AV y EDR


Una nueva t茅cnica de evasi贸n conocida como Zombie ZIP est谩 dejando al descubierto puntos d茅biles en el an谩lisis de archivos comprimidos por parte de las herramientas de seguridad. Al manipular los metadatos de los archivos ZIP, los atacantes pueden ocultar malware dentro de archivos que parecen da帽ados, pero que aun as铆 ejecutan c贸digo malicioso en sistemas comprometidos.

An谩lisis de la Amenaza

Zombie ZIP es una t茅cnica de evasi贸n recientemente descubierta que utiliza archivos ZIP malformados deliberadamente para ocultar malware a los antivirus (AV) y a las herramientas de detecci贸n y respuesta de endpoints (EDR). Los atacantes alteran el campo del m茅todo de compresi贸n ZIP para indicar falsamente que los archivos no est谩n comprimidos ("STORED"), aunque los datos sigan comprimidos con DEFLATE. Dado que muchos motores de seguridad conf铆an en estos metadatos, analizan el contenido como bytes sin procesar y no detectan el malware incrustado.

Aunque estos archivos suelen parecer da帽ados y normalmente no se abren con herramientas est谩ndar como WinRAR o 7-Zip, un cargador personalizado puede descomprimir y ejecutar correctamente la carga 煤til oculta en el sistema de la v铆ctima.

La distribuci贸n web y en la nube conlleva riesgos similares. Los usuarios pueden descargar archivos ZIP maliciosos desde sitios web de apariencia leg铆tima, herramientas de colaboraci贸n o plataformas de almacenamiento en la nube que, tras escanearlos, los consideran err贸neamente seguros.

Los puntos finales tambi茅n son vulnerables si las herramientas antivirus o EDR locales dependen del an谩lisis estricto de archivos ZIP y no logran descomprimir archivos mal formados. En esos casos, el comportamiento del usuario o la detecci贸n gen茅rica del comportamiento pueden ser la 煤nica medida de seguridad una vez que se ejecuta la carga 煤til. Esto puede provocar una intrusi贸n inicial, movimiento lateral, robo de datos o la implementaci贸n de Ransomware.

  • ZIP para indicar falsamente que los archivos no est谩n comprimidos ("STORED"), aunque los datos sigan comprimidos con DEFLATE. 

La importancia de la vulnerabilidad

Algunos investigadores argumentan que no se trata de una vulnerabilidad en el sentido tradicional, ya que estos archivos generalmente requieren un cargador personalizado para funcionar y no pueden abrirse con utilidades est谩ndar. Aun as铆, independientemente de su clasificaci贸n, la t茅cnica sirve como una forma eficaz de ocultar las cargas 煤tiles de segunda etapa a las herramientas antivirus/EDR y a las pasarelas que no validan completamente la estructura ZIP.

Zombie ZIP destaca porque explota inconsistencias en el an谩lisis sint谩ctico, no una vulnerabilidad de software tradicional. Las primeras pruebas p煤blicas demuestran que muchas herramientas antivirus y de seguridad no detectan el contenido malicioso dentro de estos archivos ZIP manipulados. En muchos casos, los motores simplemente los tratan como "corruptos", "no escaneables" o "no compatibles", y detienen el an谩lisis prematuramente, lo que proporciona a los atacantes un m茅todo fiable para eludir las defensas.

El verdadero riesgo de las organizaciones 

El principal riesgo reside en la distribuci贸n silenciosa de malware, especialmente a trav茅s de canales comunes como correos electr贸nicos de phishing o archivos compartidos.

Exposici贸n y Riesgo Organizacional

Este tipo de incidentes refuerza una realidad inc贸moda:

  • Los archivos adjuntos ZIP gozan de amplia confianza, lo que significa que un archivo ZIP infectado puede pasar desapercibido en los servidores de correo electr贸nico.
  • Puede llegar a los usuarios incluso si contiene binarios o scripts maliciosos conocidos.

Estrategias de Mitigaci贸n

Las acciones inmediatas son claras:

脕rea de Enfoque Acci贸n Recomendada
CRC Considere como de alto riesgo los archivos ZIP que generen advertencias de "corrupci贸n", errores CRC o "m茅todo no compatible".
Procesos de Sandboxing Habilite y ajuste la protecci贸n avanzada contra amenazas o el aislamiento de procesos (sandboxing) para los archivos comprimidos; evite excluir los archivos ZIP "corruptos" de un an谩lisis m谩s profundo.
Registro Supervise los registros para detectar fallos repetidos en el an谩lisis de archivos o valores inconsistentes en el encabezado ZIP.
Capacitaci贸n Refuerce la capacitaci贸n de los usuarios: no conf铆e en archivos ZIP de fuentes desconocidas o inesperadas.
Implementaci贸n XDR Aseg煤rese de que las herramientas de seguridad antivirus, EDR, de correo electr贸nico y web utilicen los motores de detecci贸n y las actualizaciones m谩s recientes.

Puntos finales

El riesgo es particularmente preocupante para las organizaciones que asumen que las amenazas basadas en ZIP est谩n adecuadamente mitigadas por los controles de puerta de enlace y an谩lisis de archivos existentes.

XDR Endpoint Security

Servicio XDR Endpoint Security

Servicio XDR para una computadora o servidor por 12 meses. Recopila telemetr铆a de seguridad en tiempo real para identificar, correlacionar e investigar amenazas avanzadas que evaden soluciones tradicionales.

Comprar ahora

* Suscripci贸n anual

Cobra Networks

Deja tu comentario

*