Исследователи компании Perception Point обнаружили новый метод фишинговой атаки, в ходе которой хакеры атакуют машины под управлением Windows, используя технику конкатенации ZIP-файлов для доставки вредоносной полезной нагрузки. Эта техника использует различные способы обработки ZIP-парсерами и менеджерами архивов конкатенированных ZIP-файлов, которые представляют собой архивы, состоящие из нескольких ZIP-структур, объединенных в одну.
Описание
В ходе наблюдаемой фишинговой атаки злоумышленники заманивали жертв поддельным уведомлением о доставке и доставляли конкатенированный ZIP-архив, который выглядел как RAR-файл. Вредоносная полезная нагрузка внутри использовала скриптовый язык AutoIt для автоматизации своих задач. Атака начинается с создания отдельных ZIP-архивов, в одном из которых скрыта вредоносная полезная нагрузка. Затем эти файлы объединяются, в результате чего получается один файл, содержащий несколько ZIP-структур, каждая из которых имеет свой каталог и маркеры конца. Успех атаки зависит от того, как приложение ZIP работает с конкатенированными архивами. 7zip отображает только первый, потенциально доброкачественный архив, в то время как WinRAR показывает оба, раскрывая вредоносное содержимое. Проводник файлов Windows может не открыть файл или, если он имеет расширение .RAR, отобразить только второй архив, содержащий вредоносное ПО. Тесты Perception Point показали, что 7zip отображает только безвредный PDF, а проводник Windows при открытии того же файла показывает вредоносный исполняемый файл.
Indicators of Compromise
SHA256
- a39ab913f09a4471b937fa942d7deca08bed75d78ae45587893dd3ea182784dd
