Una nueva técnica de evasión conocida como Zombie ZIP está dejando al descubierto puntos débiles en el análisis de archivos comprimidos por parte de las herramientas de seguridad. Al manipular los metadatos de los archivos ZIP, los atacantes pueden ocultar malware dentro de archivos que parecen dañados, pero que aun así ejecutan código malicioso en sistemas comprometidos.
Análisis de la Amenaza
Zombie ZIP es una técnica de evasión recientemente descubierta que utiliza archivos ZIP malformados deliberadamente para ocultar malware a los antivirus (AV) y a las herramientas de detección y respuesta de endpoints (EDR). Los atacantes alteran el campo del método de compresión ZIP para indicar falsamente que los archivos no están comprimidos ("STORED"), aunque los datos sigan comprimidos con DEFLATE. Dado que muchos motores de seguridad confían en estos metadatos, analizan el contenido como bytes sin procesar y no detectan el malware incrustado.
Aunque estos archivos suelen parecer dañados y normalmente no se abren con herramientas estándar como WinRAR o 7-Zip, un cargador personalizado puede descomprimir y ejecutar correctamente la carga útil oculta en el sistema de la víctima.
La distribución web y en la nube conlleva riesgos similares. Los usuarios pueden descargar archivos ZIP maliciosos desde sitios web de apariencia legítima, herramientas de colaboración o plataformas de almacenamiento en la nube que, tras escanearlos, los consideran erróneamente seguros.
Los puntos finales también son vulnerables si las herramientas antivirus o EDR locales dependen del análisis estricto de archivos ZIP y no logran descomprimir archivos mal formados. En esos casos, el comportamiento del usuario o la detección genérica del comportamiento pueden ser la única medida de seguridad una vez que se ejecuta la carga útil. Esto puede provocar una intrusión inicial, movimiento lateral, robo de datos o la implementación de Ransomware.
- ZIP para indicar falsamente que los archivos no están comprimidos ("STORED"), aunque los datos sigan comprimidos con DEFLATE.
La importancia de la vulnerabilidad
Algunos investigadores argumentan que no se trata de una vulnerabilidad en el sentido tradicional, ya que estos archivos generalmente requieren un cargador personalizado para funcionar y no pueden abrirse con utilidades estándar. Aun así, independientemente de su clasificación, la técnica sirve como una forma eficaz de ocultar las cargas útiles de segunda etapa a las herramientas antivirus/EDR y a las pasarelas que no validan completamente la estructura ZIP.
El verdadero riesgo de las organizaciones
El principal riesgo reside en la distribución silenciosa de malware, especialmente a través de canales comunes como correos electrónicos de phishing o archivos compartidos.
Exposición y Riesgo Organizacional
Este tipo de incidentes refuerza una realidad incómoda:
- Los archivos adjuntos ZIP gozan de amplia confianza, lo que significa que un archivo ZIP infectado puede pasar desapercibido en los servidores de correo electrónico.
- Puede llegar a los usuarios incluso si contiene binarios o scripts maliciosos conocidos.
Estrategias de Mitigación
Las acciones inmediatas son claras:
| Área de Enfoque | Acción Recomendada |
|---|---|
| CRC | Considere como de alto riesgo los archivos ZIP que generen advertencias de "corrupción", errores CRC o "método no compatible". |
| Procesos de Sandboxing | Habilite y ajuste la protección avanzada contra amenazas o el aislamiento de procesos (sandboxing) para los archivos comprimidos; evite excluir los archivos ZIP "corruptos" de un análisis más profundo. |
| Registro | Supervise los registros para detectar fallos repetidos en el análisis de archivos o valores inconsistentes en el encabezado ZIP. |
| Capacitación | Refuerce la capacitación de los usuarios: no confíe en archivos ZIP de fuentes desconocidas o inesperadas. |
| Implementación XDR | Asegúrese de que las herramientas de seguridad antivirus, EDR, de correo electrónico y web utilicen los motores de detección y las actualizaciones más recientes. |
Puntos finales
El riesgo es particularmente preocupante para las organizaciones que asumen que las amenazas basadas en ZIP están adecuadamente mitigadas por los controles de puerta de enlace y análisis de archivos existentes.
