Maliciozni ZIP fajlovi uspešno zaobilazili antivirus provere u okviru mejl naloga

Cyber napadači konstantno pronalaze nove načine za zaobilaženje bezbednosnih provera, te distribuiranje malvera preko phishing mejlova. Tome su nedavno poslužili i specijalno kreirani ZIP fajlovi preko kojih se distribuirao NanoCore RAT malver.

Svaka ZIP arhiva ima posebne strukture koje se sastoje od kompresovanih podataka, informacija o kompresovanim fajlovima, a svaka arhiva sadrži i “End of Central Directory” (EOCD) koji služi da se označi završetak kompresovane strukture. U okviru phishing kampanje, čiji su mejlovi bili maskirani u ponude kompanije USCO Logistics, pojavile su se i ZIP arhive naslovljene SHIPPING_MX00034900_PL_INV_pdf.zip, a najsumnjivije je bilo to što je veličina fajla bila veća od dekompresovanih komponenti, što je bio prvi signal za opasnost budući da nema logike da je kompresovani fajl veći od delova koje sadrži.

Tako su problematični ZIP fajlovi poslužili za distribuciju malvera, ali samo na uređajima koji za dekompresovanje fajlova koriste PowerArchiver, WinRar ili starije verzije 7-Zip programa. Ovo ograničenje je smanjilo broj pogođenih uređaja, pa je žrtava bilo manje nego što se očekivalo, a uprkos tome što su fajlovi uspevali da prevare skenere u okviru mejl naloga.

Izvor: Bleeping Computer