Как сообщает CNews, эксперты компании Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту антивирусов и почтовых сервисов. Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics.
Хакеры атакуют компьютеры при помощи архиваторов
Оказалось, что вредоносное содержимое в специально подготовленном архивном файле не распознаётся антивирусами и защитными средствами почтовых сервисов.
Прилагающийся архивный файл при этом имеет большие размеры, чем его содержимое в несжатом виде, что и вызвало подозрения у экспертов. При ближайшем рассмотрении в архиве нашли сразу две архивные структуры, каждая – с собственными маркерами окончания архива. Одна из этих структур содержит безобидный файл order.jpg, а во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, который оказывается трояном NanoCore.
Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл, а WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но выгружает на диск и исполняемый файл. Средства безопасности почтовых сервисов также с трудом справляются с этим архивом.
В зависимости от того, какие средства распаковки сжатых данных используются, существует вероятность, что средства безопасности увидят и проверят только файл-обманку, а реальное вредоносное содержимое будет пропущено — точно так же, как некоторые самые популярные архиваторы не смогли различить вторую структуру ZIP. Атака пройдёт успешно только в том случае, если пользователи распакуют содержимое архива с помощью определённых версий PowerArchiver, WinRar и старых 7Zip.