- Мошенники могут объединить несколько ZIP-архивов в один файл
- Программное обеспечение для архивирования редко читает или отображает все объединенные архивы.
- Это позволяет мошенникам проникнуть на устройство вредоносным ПО.
Эксперты предупреждают, что хакеры используют объединение ZIP-файлов, чтобы обойти решения безопасности и заразить свои цели вредоносным ПО через сообщения электронной почты.
В отчете исследователя кибербезопасности Perception Point описывается, как они недавно наблюдали такую кампанию при анализе фишинговой атаки.
Конкатенация ZIP-файлов — это тип атаки, при которой несколько ZIP-файлов объединяются в один с целью обмануть архиваторы и антивирусные решения.
Смягчить проблему
Как объясняет Perception Point, мошенники создавали два (или более) ZIP-архива — один совершенно безвредный, возможно, содержащий чистый PDF-файл или что-то подобное, а другой — вредоносное ПО. Затем они добавляли ZIP-файлы в один файл, который выглядит как один файл, но содержит несколько центральных каталогов, указывающих на разные наборы записей файлов.
Различные программы архивирования, такие как Winzip, WinRaR, 7zip и другие, по-разному обрабатывают эти типы файлов, что позволяет преступникам обходить решения кибербезопасности и заражать целевое устройство. Например, 7zip читает только первый ZIP-архив, что может привести к компрометации. Однако он может предупредить пользователя о дополнительных данных. WinRaR считывает все ZIP-структуры и обнаруживает вредоносное ПО, а проводник Windows показывает только второй ZIP-архив.
На практике это будет означать, что мошенники отправят обычное фишинговое электронное письмо, «предупреждая» жертву о неоплаченном счете или недоставленной посылке. Жертва загружала и запускала вложение и неосознанно заражалась трояном или аналогичным вредоносным ПО.
Perception Point утверждает, что «традиционные инструменты обнаружения» часто не могут распаковать и полностью проанализировать такие ZIP-файлы, и предлагает собственное решение (кто знал?).
«Рекурсивный анализ каждого уровня гарантирует, что ни одна скрытая угроза не будет пропущена, независимо от того, насколько глубоко она запрятана — глубоко вложенные или скрытые полезные нагрузки обнаруживаются для дальнейшего анализа».
Однако, если вы просто осторожны с вложениями электронной почты и не загружаете файлы из непроверенных источников, вам определенно следует быть в безопасности.
Над ПипКомпьютер
Вам также может понравиться это
