El correo electrónico sigue siendo un vector superior para los atacantes. A lo largo de los años, las defensas han evolucionado y las protecciones basadas en políticas se han convertido en estándar para los clientes de correo electrónico como Microsoft Outlook y Microsoft Mail. Dichas políticas son altamente efectivas, pero solo si se mantienen como atacantes siguen cambiando sus tácticas para evadir las defensas. Por esta razón, los productos de punto final de McAfee utilizan una combinación de características y contenido del producto para aumentar la agilidad. En McAfee Endpoint Security (ENS) 10.5+, dicha protección se habilita a través de la opción ‘Detectar archivos adjuntos sospechosos de correo electrónico’ y se mantiene a través del contenido DAT. Esta capacidad va más allá del nivel de protección que ofrecen los clientes de correo electrónico, ya que no solo bloquea las aplicaciones y los scripts, sino también una variedad de tipos de amenazas en su forma nativa, así como los comprimidos y contenidos en archivos y otros formatos.
Figura 1 – Pantalla de configuración ENS 10.6.1
Se puede ver un ejemplo de esta capacidad en acción contra una ejecución reciente de spam.
En esta campaña, un mensaje de correo electrónico malicioso contenía el archivo adjunto BANK DETAILS.ZIP. Dentro de este archivo se encontraba el archivo DETALLES BANCARIOS.ISO. El spam de ISO malicioso ha aumentado durante los últimos seis meses, y aunque es común que los clientes de correo electrónico bloqueen los archivos ISO, este no es el caso en el que la ISO está dentro de un ZIP. Dentro del archivo BANK DETAILS.ISO reside BANK DETAILS.EXE. Los clientes de correo electrónico normalmente bloquearán los archivos ejecutables adjuntos a los mensajes, pero no si están dentro de un contenedor.
Cuando el cliente de correo electrónico intenta escribir el archivo adjunto en el disco, ENS escanea dentro del ZIP y posteriormente los archivos ISO y EXE contenidos (ZIP -> ISO -> EXE).
Figura 2 – Ventana emergente de tostadora ENS
En este caso, el contenido DAT de 2 años de edad detuvo proactivamente la amenaza.
Si el sistema no hubiera sido protegido, un usuario confiado podría abrir el ZIP para revelar la ISO.
Figura 3 – Archivo ZIP interior que muestra el archivo ISO
Se puede acceder a la ISO a través del Explorador de Windows, que aparece como una unidad de DVD que contiene el archivo ejecutable, el robo de contraseñas y la carga útil.
Figura 4 – Archivo EXE dentro de Bank Details.ISO
Desde la llegada del bloqueo de archivos adjuntos de correo electrónico basado en políticas, los atacantes han seguido buscando formas de evadir esa protección. El abuso de ISO puede ser el último capítulo de la historia, pero otros lo seguirán.
Decenas de miles de archivos adjuntos maliciosos nuevos y únicos se bloquean cada mes a través de la función de detección «Archivo adjunto sospechoso».
[social_warfare]
