Хакеры начали использовать тактику объединения ZIP-файлов, чтобы избежать обнаружения системами ИБ в Windows

Хакеры начали использовать технику объединения ZIP-файлов для атак на ПК под управлением Windows. Этот подход помогает им скрывать вредоносные файлы от систем безопасности.

Новую тенденцию заметила компания Perception Point, сообщает Bleeping Computer. Эксперты компании обнаружили новый подход в ходе изучения фишиногового письма с прикреплённым архивом. 

Суть атаки заключается в том, что злоумышленники создают несколько отдельных ZIP-архивов. В одном из них размещается вредоносное ПО, а остальные остаются пустыми или заполняются безобидными файлами. Далее архивы объединяются, и в результате получается файл, внешне напоминающий обычный архив, но содержащий несколько структур ZIP, каждая со своим собственным центральным каталогом и конечными маркерами.

Следующий этап зависит от того, как анализаторы ZIP обрабатывают объединённые архивы. Perception Point протестировала 7zip, WinRAR и Windows File Explorer и получила разные результаты:

• 7zip считывает только первый ZIP-архив (который может быть безвредным) и выдаёт предупреждение о дополнительных данных, которое пользователи могут пропустить;

• WinRAR считывает и отображает обе ZIP-структуры, раскрывая все файлы, включая скрытую вредоносную полезную нагрузку;

• Windows File Explorer может не открыть объединённый файл или, если переименовать его с расширением .RAR, может отобразить только второй ZIP-архив.

В одном из случаев киберпреступники отправили троян под видом документов доставки посылки. В письме содержалось вложение с названием SHIPPINGINVPLBLpdf.rar»+, однако на деле оказался объединённым ZIP. При открытии файла в 7zip был виден только PDF-документ, однако WinRAR и Проводник Windows показали вредоносную составляющую SHIPPINGINVPLBLpdf.exe — троян, использующий скрипты AutoIt для автоматического выполнения вредоносных задач.

Для защиты от таких атак специалисты рекомендуют пользоваться средствами безопасности, способными извлекать вложенные архивы, и относиться с подозрением к письмам с вложениями. В критических средах следует внедрять фильтры для блокировки соответствующих расширений файлов.