Bilgisayar korsanları, güvenlik çözümleri olmadan sıkıştırılmış arşivlerde kötü niyetli yükler sunmak için Zip dosyası birleştirme tekniğini kullanarak Windows makinelerini hedefliyor.
Teknik farklı yöntemlerden yararlanır ve arşiv yöneticileri birleştirilmiş zip dosyalarını işler.
Bu yeni eğilim, kullanıcıları sahte bir nakliye bildirimi ile çeken bir kimlik avı saldırısını analiz ederken, bir Truva atı gizleyen birleştirilmiş bir fermuar arşivi keşfeden Algılama Point tarafından tespit edildi.
Araştırmacılar, ekin bir RAR arşivi olarak gizlendiğini ve kötü amaçlı yazılımların kötü niyetli görevleri otomatikleştirmek için otomatik komut dosyası dilini kullandığını buldu.
Saldırının ilk aşaması, tehdit aktörlerinin iki veya daha fazla ayrı zip arşivi yarattığı ve bunlardan birinde kötü niyetli yükü gizlediği ve gerisini zararsız içerikle bıraktığı hazırlıktır.
Daha sonra, ayrı dosyalar bir dosyanın ikili verilerini diğerine ekleyerek birleştirilir ve içeriklerini bir kombine fermuar arşivinde birleştirir.
Nihai sonuç bir dosya olarak görünse de, her biri kendi merkezi dizini ve uç işaretleyicileri olan birden fazla zip yapısı içerir.
Saldırının bir sonraki aşaması, fermuarlı ayrıştırıcıların birleştirilmiş arşivleri nasıl ele aldığına dayanıyor. Algılama Noktası, 7ZIP, Winrar ve Windows Dosya Gezgini'ni farklı sonuçlara test etti:
Uygulamanın davranışına bağlı olarak, tehdit aktörleri, birleştirmenin birinci veya ikinci fermuar arşivinde kötü amaçlı yazılımları gizlemek gibi saldırılarına ince ayar yapabilir.
7ZIP saldırısından kötü niyetli arşivi deneyen Algılama Noktası Araştırmacıları, sadece zararsız bir PDF dosyasının gösterildiğini gördüler. Windows Explorer ile açmak, kötü amaçlı yürütülebilir dosyayı ortaya çıkardı.
Birleştirilmiş ZIP dosyalarına karşı savunmak için, Algı Noktası, kullanıcıların ve kuruluşların özyinelemeli açmayı destekleyen güvenlik çözümleri kullandıklarını göstermektedir.
Genel olarak, fermuar veya diğer arşiv dosya türleri ekleyen e -postalar şüphe ile ele alınmalı ve ilgili dosya uzantılarını engellemek için filtreler kritik ortamlarda uygulanmalıdır.
Dolandırıcılar Kış Yakıt Ödeme Metinleri ile İngiltere Yaşlıları Hedef
DocuSign Zarfları API gerçekçi sahte faturalar göndermek için istismar edildi
Yeni kimlik avı saldırılarında backdoed Linux VM'lerle enfekte olan pencereler
LastPass, müşteri verilerini çalmaya çalışan sahte destek merkezleri konusunda uyarıyor
Sahte ürün listelerini göstermek için binden fazla çevrimiçi mağaza hacklendi
Kaynak: Bleeping Computer