Durante el año 2013 McAfee publicó sobre esta técnica de distribución de malware utilizada por grupos rusos, la cual era capaz de modificar el archivo hosts de los Sistemas Operativos Windows. Debido a que dependía principalmente de que la víctima fuese engañada por phishing, el desafío para los atacantes era engañar a los motores de antivirus de los servidores de correo. Para lograrlo utilizaron la técnica denominada UTF-8 BOM (Byte Order Mark) que consiste en el envío de payloads dentro de ficheros comprimidos los cuales poseen una clave de descompresión.
Durante el año 2019, se han evidenciado nuevos ataques que vuelven a utilizar BOM. El primer indicador aparece cuando el usuario intenta abrir el archivo comprimido con el explorador de archivos predeterminado de Windows y ve el siguiente error:
“Windows no puede abrir el recurso - La carpeta comprimida ‘c:\......’ es inválida.”
El mensaje de error sugiere que el archivo está dañado. Sin embargo, las herramientas como WinRAR y 7-Zip ignoran estos datos y extraen el contenido correctamente. Una vez que el usuario extrae el archivo con cualquiera de estas utilidades, el malware se ejecuta e infecta el sistema.
El ejecutable malicioso actúa como un payload para la carga útil principal que está incrustada en la sección de recursos. La carga útil final que se entrega es una variante de un malware de RAT (Remote Access Trojan) de banca, que actualmente se encuentra muy extendido en Brasil y Chile.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |
| Tipo | Indicador |
|---|---|
| hash | 087b2d745bc21cb1ab7feb6d328... |
| hash | 3f910715141a5bb01e082d7b940... |
| hash | 60ce805287c359d58e9afd90c30... |
| hash | c029b69a370e1f7b3145669f6e9... |