Спецпроекты

Безопасность Администратору Пользователю Бизнес

Хакеры захватывают ПК с помощью «кривых» архиваторов

Вредоносное содержимое в специально подготовленном архивном файле не распознается антивирусами и защитными средствами почтовых шлюзов. Таким образом фишеры рассылают RAT-троянец.

Спецдоставка с двойным дном

Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.

Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде, что немедленно вызвало подозрения у экспертов: должно быть ровно наоборот.

При ближайшем рассмотрении архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.

Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивированный исправно выгружает на диск исполняемый файл.

haker600_1.jpg
Фишеры обходят защиту с помощью сдвоенных ZIP-архивов

«Средства безопасности почтовых шлюзов с трудом справляются с этим сэмплом, — говорится в исследовании Trustwave. — В зависимости от того, какие средства распаковки сжатых данных используются, существует неплохая вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Вне зависимости от того, что происходит на шлюзе, атака пройдет успешно только в том случае, если... конечные пользователи распакуют содержимое архива с помощью определенных версий PowerArchiver, WinRar и старых 7Zip».

Экспертный комментарий

«Необходимость использовать только определеннные архиваторы определенных версий, конечно, снижает степень угрозы, но, в силу популярности WinRar, не слишком сильно, — отмечает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — С другой стороны, вполне вероятно, что сам этот метод обхода защиты мог разрабатываться для узконаправленного применения, то есть, для тех случаев, когда злоумышленники знают или имеют основания предполагать использование конкретных архиваторов в инфраструктуре целевой организации».

Роман Георгиев

Короткая ссылка