Os cibercriminosos estão utilizando uma estratégia de evasão sofisticada chamada concatenação de arquivos ZIP para atingir especificamente usuários do Windows. Esse método combina vários arquivos ZIP em um único arquivo, dificultando a detecção de conteúdo malicioso por softwares de segurança.
Como resultado, usuários desavisados podem baixar inadvertidamente arquivos prejudiciais, acreditando estar acessando dados seguros e compactados.
Essa tática permite que invasores ignorem medidas de segurança tradicionais e distribuam malware sem serem detectados, representando riscos significativos para indivíduos e organizações.
Ao explorar como diferentes leitores ZIP processam arquivos concatenados, os agentes de ameaças podem incorporar cargas maliciosas em arquivos que escapam da detecção por muitas ferramentas de segurança padrão.
Técnica de concatenação de arquivos ZIP
A concatenação de arquivos ZIP envolve anexar vários arquivos ZIP em um único arquivo. Embora esse arquivo combinado apareça como um arquivo, ele na verdade contém vários diretórios centrais, cada um apontando para diferentes conjuntos de arquivos.
De acordo com a Perception Point, a chave para essa técnica está em como vários leitores de ZIP interpretam a estrutura concatenada. Alguns leitores podem exibir apenas o conteúdo de um arquivo, ignorando os outros, permitindo que arquivos maliciosos ocultos passem despercebidos.
Por exemplo, se dois arquivos ZIP forem concatenados — um contendo conteúdo benigno e o outro abrigando malware — certas ferramentas mostrarão apenas os arquivos inofensivos. Essa discrepância no tratamento permite que os invasores escondam suas cargas úteis de ferramentas de detecção que dependem de leitores ZIP específicos.
Leitores ZIP populares como 7zip, WinRAR e Windows File Explorer lidam com arquivos ZIP concatenados de forma diferente:
- 7zip : Ao abrir um arquivo ZIP concatenado com o 7zip, apenas o conteúdo do primeiro arquivo é exibido. Embora o 7zip possa emitir um aviso sobre dados extras após o fim do arquivo, isso é frequentemente ignorado pelos usuários.
- WinRAR : Diferentemente do 7zip, o WinRAR lê o segundo diretório central e revela todo o conteúdo, incluindo quaisquer arquivos maliciosos ocultos. Isso o torna mais eficaz na detecção de ameaças incorporadas em arquivos concatenados.
- Windows File Explorer : O manipulador de arquivo interno do Windows tem dificuldades com ZIPs concatenados. Em alguns casos, ele pode falhar ao abrir o arquivo completamente ou exibir apenas parte do conteúdo do arquivo. Essa inconsistência o torna pouco confiável para detectar ameaças ocultas.
Um ataque recente destaca como os agentes de ameaças aproveitam essa técnica para entregar malware. Neste caso, um e-mail de phishing disfarçado de notificação de envio foi enviado às vítimas, diz o relatório .
O e-mail continha um anexo chamado “SHIPPING_INV_PL_BL_pdf.rar”, que parecia ser um arquivo RAR, mas na verdade era um arquivo ZIP concatenado.
Quando aberto com 7zip, o arquivo revelou apenas um documento PDF de aparência benigna. No entanto, quando aberto com WinRAR ou Windows File Explorer, o executável malicioso oculto “SHIPPING_INV_PL_BL_pdf.exe” foi exposto.
Este executável foi identificado como uma variante de malware Trojan projetado para automatizar tarefas maliciosas, como baixar cargas adicionais ou executar ransomware.
O sucesso dessa técnica de evasão está na sua capacidade de explorar diferenças em como várias ferramentas processam arquivos ZIP. Muitas soluções de segurança dependem de manipuladores ZIP comuns como 7zip ou ferramentas nativas do SO para escanear arquivos em busca de conteúdo malicioso.
Como essas ferramentas podem não analisar completamente os arquivos concatenados, elas podem deixar passar completamente ameaças ocultas.
Os hackers estão usando cada vez mais esse método porque ele permite que eles tenham como alvo usuários específicos que dependem de certas ferramentas enquanto evitam a detecção por outros. Por exemplo, usuários do Windows que dependem de ferramentas integradas ou 7zip podem estar em maior risco de serem vítimas de tais ataques.
+Mais
Canadá ordena fechamento do TikTok por preocupações com risco nacional
Lojas Marisa supostamente infectada com ransomware Medusa; site fora do ar
Malware LightSpy iOS atualizado para incluir 28 plugins com capacidades destrutivas