Microsoft escanea archivos zip protegidos con contraseña en busca de malware – Ars Technica
Los servicios en la nube de Microsoft buscan malware escudriñando los archivos zip de los usuarios, incluso si están protegidos con contraseña, informaron varios usuarios en Mastodon el lunes.
Comprimir el contenido de los archivos en archivos zip archivados ha sido durante mucho tiempo una táctica utilizada por los actores para cifrar malware a través de correo electrónico o descargas. Eventualmente, algunos actores de amenazas se adaptaron para proteger sus archivos zip maliciosos con una contraseña que el usuario final debe ingresar al convertir el archivo a su formato original. Microsoft mejora este paso al intentar eludir la protección con contraseña en los archivos zip y, si tiene éxito, escanearlos en busca de código malicioso.
Aunque el análisis de datos protegidos con contraseña en los entornos de nube de Microsoft es muy familiar para algunos, fue una sorpresa para Andrew Brandt. Un investigador de seguridad ha archivado durante mucho tiempo malware dentro de archivos zip protegidos con contraseña antes de compartirlos con otros investigadores a través de SharePoint. El lunes, le dijo a Mastodon que la herramienta de colaboración de Microsoft había marcado recientemente un archivo zip protegido con contraseña como “infectado”.
“Aunque entiendo completamente que estoy haciendo esto en nombre de alguien que no sea un analista de malware, esta forma entrometida e interna de manejar esto será un gran problema para las personas como yo que necesitan enviar muestras de malware a los compañeros”. Brandt escribió. “El espacio disponible para hacer esto simplemente disminuye y afecta la capacidad de los investigadores de malware para hacer su trabajo”.
El colega investigador Kevin Beaumont se unió a la conversación para decir que Microsoft tiene varias formas de verificar el contenido de los archivos zip protegidos con contraseña y usarlos además de los archivos almacenados en SharePoint en todos sus servicios en la nube 365. Una forma es extraer posibles contraseñas del cuerpo del correo electrónico o del propio nombre del archivo. Otra forma es probar el archivo para ver si está protegido por una de las contraseñas enumeradas.
“Si te envías un correo y escribes algo como ‘La contraseña del ZIP es Soph0s’, comprimes EICAR y ZIP las contraseñas con ese Soph0s, encontrará (la) contraseña, extraerá y buscará (e ingresará la identificación de MS)”, escribió.
El año pasado, dijo Brandt, OneDrive de Microsoft comenzó a realizar copias de seguridad de los archivos maliciosos que había almacenado en una de sus carpetas de Windows después de crear una excepción (es decir, permitir la lista) en sus herramientas de seguridad de punto final. Más tarde descubrió que una vez que los archivos llegaban a OneDrive, se borraban del disco duro de su computadora portátil y se detectaban como malware en su cuenta de OneDrive.
“Perdí un montón”, dijo.
Luego, Brandt comenzó a archivar archivos maliciosos en archivos zip que estaban protegidos con contraseña con la contraseña “infectado”. Dijo que hasta la semana pasada SharePoint no reportaba los archivos. Ahora lo son.
Los representantes de Microsoft confirmaron que recibieron un correo electrónico preguntando sobre las políticas para eludir la protección con contraseña para los archivos almacenados en sus servicios en la nube. La empresa no recibió respuesta.
Un representante de Google dijo que la empresa no escanea archivos zip protegidos con contraseña, aunque Gmail les notifica cuando los usuarios reciben dicho archivo. Mi cuenta de trabajo administrada por Google Workspace también me impidió enviar el archivo zip protegido con contraseña.
La práctica ilustra que los servicios en línea a menudo caminan por el camino mientras intentan proteger a los usuarios finales de las amenazas comunes mientras respetan la privacidad. Como señala Brandt, descifrar activamente un archivo zip protegido con contraseña se siente invasivo. Al mismo tiempo, es casi seguro que esta práctica ha evitado que un gran número de usuarios sean víctimas de ataques de ingeniería social que intentan infectar sus computadoras.
Otra cosa que los lectores deben recordar: los archivos zip protegidos con contraseña brindan una garantía mínima de que el contenido de los archivos no se puede leer. Como señaló Beaumont, ZipCrypto, la forma predeterminada de cifrar archivos zip en Windows, es pasar por alto lo trivial. Una forma más confiable es usar el cifrado AES-256 integrado en muchos programas de archivo al crear archivos 7z.
Especialista web. Evangelista de viajes. Alborotador. Fanático de la música amigable con los hipster. Experto en comida