Хакеры захватывают ПК с помощью «кривых» архиваторов
02.12.2019,
Вредоносное содержимое в специально подготовленном архивном файле не распознается антивирусами и защитными средствами почтовых шлюзов. Таким образом фишеры рассылают RAT-троянец.
Спецдоставка с двойным дном
Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.
Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде, что немедленно вызвало подозрения у экспертов: должно быть ровно наоборот.
При ближайшем рассмотрении архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл
SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.
Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивированный исправно выгружает на диск исполняемый файл.
Фишеры обходят защиту с помощью сдвоенных ZIP-архивов
«Средства безопасности почтовых шлюзов с трудом справляются с этим сэмплом, — говорится в исследовании Trustwave. — В зависимости от того, какие средства распаковки сжатых данных используются, существует неплохая вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Вне зависимости от того, что происходит на шлюзе, атака пройдет успешно только в том случае, если... конечные пользователи распакуют содержимое архива с помощью определенных версий PowerArchiver, WinRar и старых 7Zip».
Экспертный комментарий
«Необходимость использовать только определеннные архиваторы определенных версий, конечно, снижает степень угрозы, но, в силу популярности WinRar, не слишком сильно, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, вполне вероятно, что сам этот метод обхода защиты мог разрабатываться для узконаправленного применения, то есть, для тех случаев, когда злоумышленники знают или имеют основания предполагать использование конкретных архиваторов в инфраструктуре целевой организации».
02.12.2019,
Вредоносное содержимое в специально подготовленном архивном файле не распознается антивирусами и защитными средствами почтовых шлюзов. Таким образом фишеры рассылают RAT-троянец.
Спецдоставка с двойным дном
Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.
Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде, что немедленно вызвало подозрения у экспертов: должно быть ровно наоборот.
При ближайшем рассмотрении архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл
SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.
Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивированный исправно выгружает на диск исполняемый файл.
Фишеры обходят защиту с помощью сдвоенных ZIP-архивов
«Средства безопасности почтовых шлюзов с трудом справляются с этим сэмплом, — говорится в исследовании Trustwave. — В зависимости от того, какие средства распаковки сжатых данных используются, существует неплохая вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Вне зависимости от того, что происходит на шлюзе, атака пройдет успешно только в том случае, если... конечные пользователи распакуют содержимое архива с помощью определенных версий PowerArchiver, WinRar и старых 7Zip».
Экспертный комментарий
«Необходимость использовать только определеннные архиваторы определенных версий, конечно, снижает степень угрозы, но, в силу популярности WinRar, не слишком сильно, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, вполне вероятно, что сам этот метод обхода защиты мог разрабатываться для узконаправленного применения, то есть, для тех случаев, когда злоумышленники знают или имеют основания предполагать использование конкретных архиваторов в инфраструктуре целевой организации».