Microsoft está escaneando el interior de los archivos zip protegidos con contraseña en busca de malware

Primer plano en blanco y negro de ojos masculinos de aspecto siniestro que miran sospechosamente a través de las tablillas de una persiana veneciana cerrada.  Podría ser un delincuente, un acosador o un dueño de casa vigilante.

Los servicios en la nube de Microsoft están buscando malware al mirar dentro de los archivos zip de los usuarios, incluso cuando están protegidos por una contraseña, informaron varios usuarios en Mastodon el lunes.

Comprimir el contenido de los archivos en archivos zip archivados ha sido durante mucho tiempo una táctica que utilizan los actores de amenazas para ocultar el malware que se propaga a través del correo electrónico o las descargas. Eventualmente, algunos actores de amenazas se adaptaron al proteger sus archivos zip maliciosos con una contraseña que el usuario final debe escribir al convertir el archivo a su forma original. Microsoft está mejorando este movimiento al intentar eludir la protección con contraseña en los archivos zip y, cuando tiene éxito, escanearlos en busca de código malicioso.

Si bien algunas personas conocen bien el análisis de los entornos de nube de Microsoft protegidos con contraseña, Andrew Brandt se sorprendió. El investigador de seguridad ha archivado durante mucho tiempo el malware dentro de archivos zip protegidos con contraseña antes de intercambiarlos con otros investigadores a través de SharePoint. El lunes, se dirigió a Mastodon para informar que la herramienta de colaboración de Microsoft había marcado recientemente un archivo zip, que había sido protegido con la contraseña “infectado”.

“Si bien entiendo perfectamente hacer esto para cualquier persona que no sea un analista de malware, esta forma entrometida de manejar esto se convertirá en un gran problema para las personas como yo que necesitan enviar muestras de malware a sus colegas. ,” Brandt escribió. “El espacio disponible para hacer esto sigue reduciéndose y afectará la capacidad de los investigadores de malware para hacer su trabajo”.

El colega investigador Kevin Beaumont se unió a la discusión para decir que Microsoft tiene múltiples métodos para escanear el contenido de los archivos zip protegidos con contraseña y los usa no solo en los archivos almacenados en SharePoint, sino también en todos sus servicios en la nube 365. Una forma es extraer las posibles contraseñas de los cuerpos del correo electrónico o el nombre del archivo en sí. Otra es probar el archivo para ver si está protegido con una de las contraseñas contenidas en una lista.

“Si se envía algo por correo y escribe algo como ‘La contraseña de ZIP es Soph0s’, comprime EICAR y la contraseña de ZIP con Soph0s, encontrará (la) contraseña, extraerá y encontrará (y alimentará la detección de MS)”, escribió.

Brandt dijo que el año pasado, OneDrive de Microsoft comenzó a realizar copias de seguridad de archivos maliciosos que había almacenado en una de sus carpetas de Windows después de crear una excepción (es decir, permitir la lista) en sus herramientas de seguridad de punto final. Más tarde descubrió que una vez que los archivos llegaron a OneDrive, se borraron del disco duro de su computadora portátil y se detectaron como malware en su cuenta de OneDrive.

“Perdí a todo el grupo”, dijo.

Brandt luego comenzó a archivar archivos maliciosos en archivos zip protegidos con la contraseña “infectado”. Hasta la semana pasada, dijo, SharePoint no marcaba los archivos. Ahora lo son.

Los representantes de Microsoft acusaron recibo de un correo electrónico preguntando sobre las prácticas de eludir la protección con contraseña de los archivos almacenados en sus servicios en la nube. La compañía no siguió con una respuesta.

Un representante de Google dijo que la compañía no escanea archivos zip protegidos con contraseña, aunque Gmail los marca cuando los usuarios reciben dicho archivo. Mi cuenta de trabajo administrada por Google Workspace también me impidió enviar un archivo zip protegido con contraseña.

La práctica ilustra la delgada línea que los servicios en línea suelen transitar cuando intentan proteger a los usuarios finales de las amenazas comunes y, al mismo tiempo, respetar la privacidad. Como señala Brandt, descifrar activamente un archivo zip protegido con contraseña se siente invasivo. Al mismo tiempo, es casi seguro que esta práctica ha evitado que un gran número de usuarios sean víctimas de ataques de ingeniería social que intentan infectar sus computadoras.

Otra cosa que los lectores deben recordar: los archivos zip protegidos con contraseña brindan una garantía mínima de que el contenido dentro de los archivos no se puede leer. Como señaló Beaumont, ZipCrypto, el medio predeterminado para cifrar archivos zip en Windows, es trivial para anular. Una forma más confiable es usar un cifrador AES-256 integrado en muchos programas de archivo al crear archivos 7z.

Leave a Reply

Your email address will not be published. Required fields are marked *