ZIP-матрешка: новая уловка киберпреступников для обхода многих антивирусов
В постоянно развивающейся сфере кибербезопасности злоумышленники постоянно совершенствуют свои методы. Недавнее открытие специалистов Perception Point демонстрирует новый уровень сложности в маскировке вредоносных программ, сообщают на сайте «securitylab.ru».
Исследователи обнаружили новую технику обхода антивирусной защиты, основанную на использовании вложенных ZIP-архивов. Суть метода заключается в объединении нескольких ZIP-архивов в один файл, при этом один из архивов содержит вредоносное ПО, а остальные – либо пусты, либо содержат безобидные файлы. Такой подход использует особенности обработки вложенных архивов различными программами.
Различия в обработке таковы: 7-Zip, WinRAR и Проводник Windows проявляют различное поведение при обработке подобных файлов. 7-Zip, например, может отображать только содержимое первого архива, игнорируя потенциально вредоносные файлы в других. WinRAR, в свою очередь, чаще демонстрирует содержимое последнего архива, потенциально раскрывая вредоносную активность. Проводник Windows может и вовсе некорректно отображать содержимое или частично его игнорировать, в зависимости от расширения файла и способа его обработки.
В одном из задокументированных случаев злоумышленники использовали файл, названный «SHIPPING_INV_PL_BL_pdf.rar», содержащий вложенный ZIP-архив с трояном под видом безобидного PDF-документа. Открытие файла в 7-Zip показывало только PDF, тогда как WinRAR или Проводник Windows раскрывали наличие вредоносного исполняемого файла «SHIPPING_INV_PL_BL_pdf.exe», использующего скрипты AutoIt для выполнения вредоносных действий.
Специалисты рекомендуют использовать программное обеспечение безопасности, способное распаковывать вложенные архивы и анализировать содержимое на наличие вредоносных программ. Повышение бдительности при работе с электронными письмами и вложениями, а также использование настроек фильтров для блокировки подозрительных файлов – критически важные меры предосторожности.