+38/044/257-2444
+38/067/502-3306
+38/050/370-3627
Новости

Trustwave выявила специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов

Trustwave выявила специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов

Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.

Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде, что немедленно вызвало подозрения у экспертов: должно быть ровно наоборот.

При ближайшем рассмотрении архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.

Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивированный исправно выгружает на диск исполняемый файл.

«Средства безопасности почтовых шлюзов с трудом справляются с этим сэмплом, — говорится в исследовании Trustwave. — В зависимости от того, какие средства распаковки сжатых данных используются, существует неплохая вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Вне зависимости от того, что происходит на шлюзе, атака пройдет успешно только в том случае, если... конечные пользователи распакуют содержимое архива с помощью определенных версий PowerArchiver, WinRar и старых 7Zip».

Другие новости