Новую тенденцию заметила компания Perception Point, сообщает Bleeping Computer. Эксперты компании обнаружили новый подход в ходе изучения фишиногового письма с прикреплённым архивом.
Суть атаки заключается в том, что злоумышленники создают несколько отдельных ZIP-архивов. В одном из них размещается вредоносное ПО, а остальные остаются пустыми или заполняются безобидными файлами. Далее архивы объединяются, и в результате получается файл, внешне напоминающий обычный архив, но содержащий несколько структур ZIP, каждая со своим собственным центральным каталогом и конечными маркерами.
Следующий этап зависит от того, как анализаторы ZIP обрабатывают объединённые архивы. Perception Point протестировала 7zip, WinRAR и Windows File Explorer и получила разные результаты:
7zip считывает только первый ZIP-архив (который может быть безвредным) и выдаёт предупреждение о дополнительных данных, которое пользователи могут пропустить;
WinRAR считывает и отображает обе ZIP-структуры, раскрывая все файлы, включая скрытую вредоносную полезную нагрузку;
Windows File Explorer может не открыть объединённый файл или, если переименовать его с расширением .RAR, может отобразить только второй ZIP-архив.
В одном из случаев киберпреступники отправили троян под видом документов доставки посылки. В письме содержалось вложение с названием SHIPPINGINVPLBLpdf.rar»+, однако на деле оказался объединённым ZIP. При открытии файла в 7zip был виден только PDF-документ, однако WinRAR и Проводник Windows показали вредоносную составляющую SHIPPINGINVPLBLpdf.exe — троян, использующий скрипты AutoIt для автоматического выполнения вредоносных задач.
Для защиты от таких атак специалисты рекомендуют пользоваться средствами безопасности, способными извлекать вложенные архивы, и относиться с подозрением к письмам с вложениями. В критических средах следует внедрять фильтры для блокировки соответствующих расширений файлов.
Обсудить
