Trustwave виявила спеціально створені ZIP-архіви, що дозволяють зловмисникам обходити захист поштових шлюзів та антивірусів
Trustwave виявила спеціально створені ZIP-архіви, що дозволяють зловмисникам обходити захист поштових шлюзів та антивірусів
Експерти фірми Trustwave виявили великомасштабну фішингову кампанію, в якій для поширення шкідливих програм використовуються спеціально створені ZIP-архіви, що дозволяють зловмисникам обходити захист поштових шлюзів та антивірусів.
Фішингові листи видаються за повідомлення спеціаліста з експортних операцій логістичної корпорації USCO Logistics. Архивний файл, що додається, має більші розміри, ніж його вміст у стиснутому вигляді, що негайно викликало підозри у експертів: має бути рівно навпаки.
При найближчому розгляді архів містив одразу дві архівні структури, кожна з власними записами EOCD (це маркер закінчення архіву). Одна з цих структур містить невинний файл order.jpg, а ось у другій ховається виконуваний файл SHIPPING_MX00034900_PL_INV_pdf.exe, на перевірку виявляється RAT-троянцем (Remote Access Trojan, засіб віддаленого управління) NanoCore.
Далі дослідники виявили, що різні архіватори по-різному бачать цей архів. Вбудовані у Windows засоби відмовляються його відкривати як несправний файл. WinRar 3.30 при попередньому перегляді виводить order.jpg як єдиний вміст архіву, але при розархівованому справно вивантажує на диск виконуваний файл.
«Засоби безпеки поштових шлюзів важко справляються з цим семплом, — йдеться в дослідженні Trustwave. — Залежно від того, які засоби розпакування стислих даних використовуються, існує непогана ймовірність, що засоби безпеки побачать і перевірять лише файл-обманку, а реальний шкідливий вміст буде пропущено — так само, як Деякі найпопулярніші архіватори не змогли розрізнити другу структуру ZIP. Незалежно від того, що відбувається на шлюзі, атака пройде успішно лише в тому випадку, якщо... кінцеві користувачі розпакують вміст архіву за допомогою певних версій PowerArchiver, WinRar та старих 7Zip».
