Шкідливий вміст в спеціально підготовленому архівному файлі не розпізнається антивірусами і захисними засобами поштових шлюзів. Таким чином фішери розсилають RAT-троянець (Remote Access Trojan, засіб віддаленого управління).
Експерти фірми Trustwave виявили великомасштабну фішингову кампанію, в якій для поширення шкідливих програм використовуються спеціально створені ZIP-архіви, що дозволяють зловмисникам обходити захист поштових шлюзів і антивірусів.
Фішингові листи видаються за повідомлення фахівця за експортними операціями логістичної корпорації USCO Logistics. Доданий архівний файл має великі розміри – бiльшi, ніж його вміст в стислому вигляді, що негайно викликало підозри у експертів: має бути рівно навпаки.
При найближчому розгляді архів містив одразу дві архівні структури, кожна – з власними записами EOCD (це маркер закінчення архіву). Одна з цих структур містить нешкідливий файл order.jpg, а ось у другій ховається виконуваний файл SHIPPING_MX00034900_PL_INV_pdf.exe, який i є RAT-троянцем NanoCore.
Далі дослідники виявили, що різні архіватори по-різному бачать цей архів. Вбудовані в Windows засоби відмовляються його відкривати як несправний файл. WinRar 3.30 при попередньому перегляді виводить order.jpg як єдиний вміст архіву, але при розпакуваннi справно вивантажує на диск виконуваний файл.
«Засоби безпеки поштових шлюзів насилу справляються з цим семплом, – йдеться в дослідженні Trustwave. – Залежно від того, які засоби розпакування стислих даних використовуються, існує велика ймовірність, що засоби безпеки побачать і перевірять тільки файл-обманку, а реальний шкідливий вміст буде пропущено – точно так само, як деякі найпопулярніші архіватори не змогли розрізнити другу структуру ZIP . Незалежно від того, що відбувається на шлюзі, атака пройде успішно тільки в тому випадку, якщо кінцеві користувачі розпакують вміст архіву за допомогою певних версій PowerArchiver, WinRar і старих 7Zip».
«Необхідність використовувати тільки архіваторiв певних версій, звичайно, знижує ступінь загрози, але, в силу популярності WinRar, не дуже сильно, – зазначає Анастасія Мельникова, експерт з інформаційної безпеки компанії SEC Consult Services. – З іншого боку, цілком ймовірно, що сам цей метод обходу захисту міг розроблятися для вузькосфокусованого застосування, тобто, для тих випадків, коли зловмисники знають або мають підстави припускати використання конкретних архіваторів в інфраструктурі цільової організації».
Джерело: internetua.com