Хакеры атакуют компьютеры при помощи архиваторов
![Хакеры атакуют компьютеры при помощи архиваторов](https://images11.popmeh.ru/upload/img_cache/926/926219add43437c1d6b471ad389993ca_ce_1153x615x128x0_cropped_800x427.jpeg)
![a66012f01b6371f8aeb78743018ceff1_cropped](https://images11.popmeh.ru/upload/img_cache/a66/a66012f01b6371f8aeb78743018ceff1_cropped_40x40.jpg)
Как сообщает CNews, эксперты компании Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту антивирусов и почтовых сервисов. Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics.
Прилагающийся архивный файл при этом имеет большие размеры, чем его содержимое в несжатом виде, что и вызвало подозрения у экспертов. При ближайшем рассмотрении в архиве нашли сразу две архивные структуры, каждая — с собственными маркерами окончания архива. Одна из этих структур содержит безобидный файл order. jpg, а во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, который оказывается трояном NanoCore.
Далее исследователи обнаружили, что разные архиваторы по‑разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл, а WinRar 3.30 при предварительном просмотре выводит order. jpg как единственное содержимое архива, но выгружает на диск и исполняемый файл. Средства безопасности почтовых сервисов также с трудом справляются с этим архивом.
В зависимости от того, какие средства распаковки сжатых данных используются, существует вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Атака пройдёт успешно только в том случае, если пользователи распакуют содержимое архива с помощью определённых версий PowerArchiver, WinRar и старых 7Zip.
Обсудить 0