Хакеры начали использовать новую технику слияния ZIP-файлов, чтобы доставлять вредоносные программы и обходить защитные механизмы.
Суть атаки заключается в создании нескольких ZIP-архивов, один из которых содержит вредоносное ПО, и объединении их в один файл. Антивирусные программы могут не обнаружить угрозу, так как анализируют только один из архивов.
Исследователи из Perception Point обнаружили этот способ при анализе фишинговой атаки, замаскированной под уведомление о доставке. Злоумышленники использовали AutoIt для автоматизации выполнения вредоносных задач, скрывая их в архиве, который выглядел как безопасный RAR-файл. Это позволило обойти защиту и доставить вредоносную нагрузку на устройство.
ZIP-архивы, содержащие вредоносное ПО, объединяются таким образом, что некоторые программы для работы с архивами не могут корректно обработать получившийся файл. Например, 7zip отображает только первый архив, оставляя опасный код незамеченным. Windows Explorer может также ошибаться, не показывая часть данных или раскрывая только безобидные файлы, тогда как WinRAR показывает содержимое всех частей.
Чтобы защититься от таких атак, специалисты рекомендуют использовать решения, поддерживающие рекурсивное распаковывание архивов. Кроме того, следует с осторожностью относиться к письмам, содержащим вложения в виде ZIP- или других архивных файлов, и настраивать фильтры в критически важных системах для блокировки подозрительных расширений.
Суть атаки заключается в создании нескольких ZIP-архивов, один из которых содержит вредоносное ПО, и объединении их в один файл. Антивирусные программы могут не обнаружить угрозу, так как анализируют только один из архивов.
Исследователи из Perception Point обнаружили этот способ при анализе фишинговой атаки, замаскированной под уведомление о доставке. Злоумышленники использовали AutoIt для автоматизации выполнения вредоносных задач, скрывая их в архиве, который выглядел как безопасный RAR-файл. Это позволило обойти защиту и доставить вредоносную нагрузку на устройство.
ZIP-архивы, содержащие вредоносное ПО, объединяются таким образом, что некоторые программы для работы с архивами не могут корректно обработать получившийся файл. Например, 7zip отображает только первый архив, оставляя опасный код незамеченным. Windows Explorer может также ошибаться, не показывая часть данных или раскрывая только безобидные файлы, тогда как WinRAR показывает содержимое всех частей.
Чтобы защититься от таких атак, специалисты рекомендуют использовать решения, поддерживающие рекурсивное распаковывание архивов. Кроме того, следует с осторожностью относиться к письмам, содержащим вложения в виде ZIP- или других архивных файлов, и настраивать фильтры в критически важных системах для блокировки подозрительных расширений.
