Sajber kriminalci koriste sofisticiranu strategiju izbjegavanja zvanu spajanje ZIP datoteka kako bi posebno ciljali korisnike Windowsa. Ova metoda kombinuje nekoliko ZIP datoteka u jednu arhivu, što otežava sigurnosnom softveru da otkrije maliciozni sadržaj.
Kao rezultat toga, korisnici koji ništa ne sumnjaju mogu nehotice preuzeti štetne datoteke dok vjeruju da pristupaju sigurnim, komprimiranim podacima.
Ova taktika omogućava napadačima da zaobiđu tradicionalne sigurnosne mjere i isporuče maliciozne softver neotkriven, što predstavlja značajan rizik za pojedince i organizacije.
Iskorišćavanjem načina na koji različiti čitači ZIP-a obrađuju spojene datoteke, hakeri mogu ugraditi maliciozne sadržaje u arhive koje izbjegavaju otkrivanje mnogim standardnim sigurnosnim alatima.
Tehnika spajanja ZIP datoteka
Povezivanje ZIP datoteka uključuje dodavanje više ZIP arhiva u jednu datoteku. Iako se ova kombinovana datoteka pojavljuje kao jedna arhiva, ona zapravo sadrži više centralnih direktorija, od kojih svaki upućuje na različite skupove datoteka.
Prema Perception Point-u, ključ ove tehnike leži u tome kako različiti čitači ZIP-a tumače spojenu strukturu. Neki čitači mogu prikazati samo sadržaj jedne arhive dok ignorišu druge, dozvoljavajući skrivenim malicioznim fajlovima da ostanu neprimjećeni.
Na primjer, ako su dvije ZIP datoteke povezane – jedna sadrži benigni sadržaj, a druga sadrži maliciozni softver – određeni alati će prikazati samo bezopasne datoteke. Ova razlika u rukovanju omogućava napadačima da sakriju svoj teret od alata za otkrivanje koji se oslanjaju na određene ZIP čitače.
Popularni čitači ZIP-ova kao što su 7zip, WinRAR i Windows File Explorer različito rukuju povezanim ZIP datotekama:
- 7zip : Kada otvorite povezanu ZIP datoteku sa 7zip, prikazuje se samo sadržaj prve arhive. Iako 7zip može izdati upozorenje o dodatnim podacima nakon završetka arhive, korisnici to često zanemaruju.
- WinRAR : Za razliku od 7zip, WinRAR čita drugi centralni direktorij i otkriva sav sadržaj, uključujući sve skrivene zlonamjerne datoteke. To ga čini efikasnijim u otkrivanju prijetnji ugrađenih u povezane arhive.
- Windows File Explorer : Windowsov ugrađeni rukovalac arhivama se bori sa povezanim ZIP-ovima. U nekim slučajevima možda neće u potpunosti otvoriti datoteku ili prikazati samo dio sadržaja arhive. Ova nedosljednost ga čini nepouzdanim za otkrivanje skrivenih prijetnji.
Nedavni napad naglašava kako hakeri koriste ovu tehniku za isporuku malicioznog softvera. U ovom slučaju žrtvama je poslana phishing e-poruka prerušena u obavijest o otpremi, stoji u izvještaju .
E-mail je sadržavao prilog pod nazivom “SHIPPING_INV_PL_BL_pdf.rar”, koji je izgledao kao RAR fajl, ali je zapravo bio spojena ZIP arhiva.
Kada se otvori sa 7zip, datoteka je otkrila samo PDF dokument benignog izgleda. Međutim, kada se otvori pomoću WinRAR-a ili Windows File Explorer-a, otkrivena je skrivena maliciozna izvršna datoteka “SHIPPING_INV_PL_BL_pdf.exe”.
Ova izvršna datoteka je identifikovana kao varijanta trojanskog malicioznog softvera dizajniranog za automatizaciju malicioznih zadataka kao što je preuzimanje dodatnih korisnih podataka ili izvršavanje ransomware-a.
Uspjeh ove tehnike izbjegavanja leži u njenoj sposobnosti da iskoristi razlike u načinu na koji različiti alati obrađuju ZIP datoteke. Mnoga sigurnosna rješenja oslanjaju se na uobičajene ZIP rukovaoce kao što su 7zip ili izvorni OS alati za skeniranje arhiva u potrazi za malicioznim sadržajem.
Budući da ovi alati možda neće u potpunosti analizirati povezane arhive, mogu u potpunosti propustiti skrivene prijetnje.
Hakeri sve više koriste ovu metodu jer im omogućava da ciljaju određene korisnike koji se oslanjaju na određene alate dok izbjegavaju da ih drugi otkriju. Na primjer, korisnici Windowsa koji ovise o ugrađenim alatima ili 7zip-u mogu biti izloženi većem riziku da postanu žrtve takvih napada
Izvor: CyberSecurityNews
