Os hackers estão cada vez mais mirando máquinas Windows usando concatenação de arquivos ZIP para incorporar cargas maliciosas em arquivos compactados, passando pelas defesas de segurança sem serem detectados.
Este método aproveita as variações em como os analisadores de ZIP e os gerenciadores de arquivos processam arquivos ZIP concatenados.
Pesquisadores da Perception Point descobriram recentemente essa tática ao analisar um ataque de phishing disfarçado de aviso de remessa. Dentro do arquivo ZIP concatenado, eles encontraram um trojan oculto.
O malware, disfarçado como um anexo de arquivo RAR, empregou a linguagem de script AutoIt para automatizar ações prejudiciais no sistema da vítima.
E-mail de phishing escondendo um trojan em um arquivo ZIP concatenado
Fonte: Perception Point
Ocultando malware em ZIPs “quebrados”
A fase inicial do ataque envolve preparação, durante a qual os agentes da ameaça criam vários arquivos ZIP, ocultando a carga maliciosa dentro de um e deixando os outros inofensivos.
Depois, eles concatenam esses arquivos anexando os dados binários de um arquivo a outro, efetivamente mesclando seus conteúdos em um único arquivo ZIP.
Embora o produto final apareça como um único arquivo, ele contém várias estruturas ZIP, cada uma com seu próprio diretório central e marcadores finais.
Estrutura interna de arquivos ZIP
Fonte: Perception Point
Explorando falhas do aplicativo ZIP
Na próxima fase do ataque, hackers exploram como diferentes analisadores ZIP interpretam arquivos concatenados. O Perception Point testou várias ferramentas — 7zip, WinRAR e Windows File Explorer — e observou resultados variados:
- 7zip lê apenas o primeiro arquivo ZIP, potencialmente benigno, e pode exibir um aviso sobre dados extras, que os usuários podem ignorar.
- WinRAR exibe ambas as estruturas ZIP, expondo todos os arquivos, incluindo a carga maliciosa oculta.
- Windows File Explorer pode ter dificuldade para abrir o arquivo concatenado ou, se renomeado com uma extensão .RAR, pode exibir apenas o segundo arquivo ZIP.
Com base nesses comportamentos, os invasores podem adaptar sua estratégia, por exemplo, colocando o malware no primeiro ou segundo arquivo ZIP. Quando os pesquisadores do Perception Point abriram o arquivo malicioso com o 7zip, apenas um PDF inofensivo apareceu; no entanto, com o Windows File Explorer, o executável malicioso foi revelado.
7zip (acima) e Windows File Explorer (abaixo) abrindo o mesmo arquivo
Fonte: Perception Point
Para proteger contra ataques de arquivos concatenados, a Perception Point recomenda que usuários e organizações implantem soluções de segurança capazes de descompactação recursiva.
Como precaução geral, e-mails contendo ZIP ou outros tipos de arquivo compactado devem ser abordados com cautela, e filtros devem ser configurados em ambientes críticos para bloquear essas extensões de arquivo.
Fonte: BleepingComputer, Bill Toulas
Leia outras notícias em nosso blog.
