BIZIT 11 - prvi dan

Maliciozni ZIP fajlovi uspešno zaobilazili antivirus provere u okviru mejl naloga

Cyber napadači konstantno pronalaze nove načine za zaobilaženje bezbednosnih provera, te distribuiranje malvera preko phishing mejlova. Tome su nedavno poslužili i specijalno kreirani ZIP fajlovi preko kojih se distribuirao NanoCore RAT malver.

PCPress.rs Image

Svaka ZIP arhiva ima posebne strukture koje se sastoje od kompresovanih podataka, informacija o kompresovanim fajlovima, a svaka arhiva sadrži i “End of Central Directory” (EOCD) koji služi da se označi završetak kompresovane strukture. U okviru phishing kampanje, čiji su mejlovi bili maskirani u ponude kompanije USCO Logistics, pojavile su se i ZIP arhive naslovljene SHIPPING_MX00034900_PL_INV_pdf.zip, a najsumnjivije je bilo to što je veličina fajla bila veća od dekompresovanih komponenti, što je bio prvi signal za opasnost budući da nema logike da je kompresovani fajl veći od delova koje sadrži.

PCPress.rs Image

Tako su problematični ZIP fajlovi poslužili za distribuciju malvera, ali samo na uređajima koji za dekompresovanje fajlova koriste PowerArchiver, WinRar ili starije verzije 7-Zip programa. Ovo ograničenje je smanjilo broj pogođenih uređaja, pa je žrtava bilo manje nego što se očekivalo, a uprkos tome što su fajlovi uspevali da prevare skenere u okviru mejl naloga.

Pročitajte i:  Nove prevare: Kad u mejlu piše da vas partner vara

PCPress.rs Image

Izvor: Bleeping Computer

Facebook komentari:
Računari i Galaksija
Tagovi: , , ,