Оказалось, что вредоносное содержимое в специально подготовленном архивном файле не распознаётся антивирусами и защитными средствами почтовых сервисов.
Хакеры атакуют компьютеры при помощи архиваторов
Александр Пономарёв

Как сообщает CNews, эксперты компании Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту антивирусов и почтовых сервисов. Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics.

Прилагающийся архивный файл при этом имеет большие размеры, чем его содержимое в несжатом виде, что и вызвало подозрения у экспертов. При ближайшем рассмотрении в архиве нашли сразу две архивные структуры, каждая — с собственными маркерами окончания архива. Одна из этих структур содержит безобидный файл order. jpg, а во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, который оказывается трояном NanoCore.

Далее исследователи обнаружили, что разные архиваторы по‑разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл, а WinRar 3.30 при предварительном просмотре выводит order. jpg как единственное содержимое архива, но выгружает на диск и исполняемый файл. Средства безопасности почтовых сервисов также с трудом справляются с этим архивом.

В зависимости от того, какие средства распаковки сжатых данных используются, существует вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Атака пройдёт успешно только в том случае, если пользователи распакуют содержимое архива с помощью определённых версий PowerArchiver, WinRar и старых 7Zip.

Понравилась статья?
Самые свежие новости из мира бытовой техники: от смартфонов и планшетов до сумасшедших изобретений!
Спасибо.
Мы отправили на ваш email письмо с подтверждением.