Хакеры прячут вредоносное ПО в ZIP-файлах

Исследователи безопасности обнаружили, что злоумышленники используют конкатенацию ZIP-файлов, чтобы избежать обнаружения вредоносного ПО внутри. Этот метод включает в себя объединение нескольких ZIP-файлов, при этом вредоносное ПО хранится в одном из внутренних архивов, что затрудняет обнаружение антивирусным ПО. Кроме того, исследователи из Perception Point (h/t BleepingComputer) отметили, что различные способы обработки конкатенированных архивов тремя самыми популярными архиваторами файлов — 7zip, WinRAR и Windows File Explorer — влияют на показатели обнаружения при этом типе атак.

ZIP-файлы обычно имеют один центральный каталог, который сообщает архиватору, где каждый отдельный файл находится в архиве и где начинаются и заканчиваются его данные. Однако объединенные архивы имеют два или более центральных каталогов, при этом архиватор файлов открывает только один центральный каталог, когда пользователь просматривает его содержимое. Например, 7zip показывает только первый центральный каталог, в то время как WinRAR покажет второй. С другой стороны, Windows File Explorer наотрез отказывается открывать объединенные ZIP-файлы (но он откроет второй каталог, если файл переименован в файл.RAR).

Итак, если вредоносный файл хранится во втором каталоге, пользователи, которые распаковывают его с помощью 7zip, вообще не увидят вредоносное ПО — виден и распакован только первый безвредный каталог. Единственным признаком того, что в архиве есть еще один файл, является предупреждение, которое появляется в окне извлечения: «После окончания полезных данных есть некоторые данные». Но если вы используете WinRAR или Проводник Windows (с объединенным архивом.RAR), вы сможете увидеть и распаковать вредоносный файл.

Обратите внимание, что это, скорее всего, преднамеренное поведение, основанное на популярных вариантах использования некоторого архивного программного обеспечения. Большинство технически подкованных пользователей, включая разработчиков и специалистов по кибербезопасности, предпочитают 7zip. Поэтому, если они откроют подозрительный файл, обычно доставляемый через фишинговое письмо, они не увидят вредоносную программу, что позволит вектору атаки остаться незамеченным. С другой стороны, некоторые откроют архив непосредственно в проводнике Windows или в WinRAR. Учитывая, что файл доставляется через фишинговое письмо, нетехнически подкованные пользователи являются очевидными целями этой атаки. Когда они открывают зараженный файл, он может подключиться к Интернету для загрузки программ-вымогателей, банковских троянов и других типов более сложных вредоносных программ.

Это не первая вредоносная атака, которая использовала особенности и особенности архивного ПО. Например, ранее исследователь безопасности обнаружил атаку «Zip Bomb», когда один архив размером 46 МБ расширялся до огромной папки размером 4,5 ПБ, что потенциально приводило к сбою системы, открывающей его. В контексте этот объем хранилища равен 4,5 миллиардам высококачественных фотографий по 1 МБ каждая или более 366 годам HD-видео, если один час занимает 1,4 ГБ. Это показывает, что, хотя защитное ПО является важной частью кибербезопасности, знание того, какие файлы являются подозрительными, по-прежнему является первой линией обороны пользователя.

Источник: Tomshardware.com