Hackers estão utilizando uma técnica de concatenação de arquivos ZIP para distribuir payloads maliciosos em arquivos compactados, passando despercebidos pelas soluções de segurança.
A técnica explora as diferenças em como os parsers de ZIP e gerenciadores de arquivos lidam com arquivos ZIP concatenados.
Essa nova tendência foi identificada pela Perception Point, que descobriu um arquivo ZIP concatenado escondendo um trojan durante a análise de um ataque de phishing que atraía os usuários com um falso aviso de envio.
Os pesquisadores perceberam que o anexo era disfarçado como um arquivo RAR, e o malware utilizava a linguagem de script AutoIt para automatizar tarefas maliciosas.
Malware em ZIPs "corrompidos"
E-mail de phishing que esconde um trojan em um arquivo ZIP concatenado
Fonte: Ponto de Percepção
A primeira fase do ataque é a preparação, onde os atores de ameaça criam dois ou mais arquivos ZIP separados e escondem o payload malicioso em um deles, deixando o restante com conteúdo inofensivo.
Em seguida, os arquivos separados são concatenados em um único arquivo, anexando os dados binários de um arquivo ao outro, fundindo seus conteúdos em um único arquivo ZIP combinado.
Estrutura interna dos arquivos ZIP
Fonte: Ponto de Percepção
Embora o resultado final pareça um único arquivo, ele contém múltiplas estruturas ZIP, cada uma com seu próprio diretório central e marcadores de finalização.
A fase seguinte do ataque depende de como os parsers de ZIP lidam com arquivos concatenados. A Perception Point testou o 7zip, WinRAR e o Windows File Explorer com resultados variados:
7zip lê apenas o primeiro arquivo ZIP (que pode ser benigno) e pode gerar um aviso sobre dados adicionais, que os usuários podem ignorar.
WinRAR lê e exibe ambas as estruturas ZIP, revelando todos os arquivos, incluindo o payload malicioso escondido.
Windows File Explorer pode falhar ao abrir o arquivo concatenado ou, se renomeado com a extensão .RAR, pode exibir apenas o segundo arquivo ZIP.
Dependendo do comportamento do aplicativo, os atores de ameaça podem ajustar seu ataque, como esconder o malware no primeiro ou no segundo arquivo ZIP da concatenação.
Ao testar o arquivo malicioso do ataque no 7Zip, os pesquisadores da Perception Point viram somente um arquivo PDF inofensivo. No entanto, ao abri-lo com o Windows Explorer, o executável malicioso foi revelado.
7zip (em cima) e Windows File Explorer (embaixo) abrindo o mesmo arquivo
Fonte: Ponto de Percepção
Para se defender contra arquivos ZIP concatenados, a Perception Point sugere que usuários e organizações utilizem soluções de segurança que suportem descompactação recursiva.
De maneira geral, e-mails que anexam ZIPs ou outros tipos de arquivos compactados devem ser tratados com suspeita. É recomendável implementar filtros em ambientes críticos para bloquear extensões de arquivos relacionados.
Via - BC
Commenti