Észlelés elkerülése ZIP fájlok összekapcsolásával
A kiberszereplők folyamatosan innovatív módszereket keresnek az észlelés elkerülésére, és a ZIP-fájlok összekapcsolása hatékony taktikának bizonyult. A ZIP-olvasók és archívumkezelők különböző módjainak kihasználásával a támadók olyan kártevőket ágyazhatnak be, amelyek kifejezetten bizonyos eszközök felhasználóit célozzák meg. Ez a módszer lehetővé teszi számukra, hogy kikerüljék a biztonsági megoldásokat.
A ZIP formátum, amelyet széles körben használnak több fájl tömörítésére és egyetlen fájlba történő összevonására, elengedhetetlen a fájlméret csökkentéséhez és az átvitel egyszerűsítéséhez. Szerkezeti rugalmassága ugyanakkor vonzó vektorrá teszi az észlelés elkerülése érdekében. A ZIP működésének feltárása kulcsfontosságú a kiberszereplők által használt kijátszási technikák megértéséhez. Kialakításának célja a fájlkezelés egyszerűsítése és a hatékonyság növelése, de ez egyben potenciális sérülékenységetis jelent.
Egy nemrégiben azonosított rosszindulatú kibertevékenység során a kiberszereplők trójai kártevőt terjesztettek, amelyet legitim szállítási dokumentumnak álcáztak. A rosszindulatú hasznos terhet egy e-mailhez csatolt ZIP-fájlként szállították, amelyet úgy terveztek, hogy megkerülje a legtöbb szabványos ZIP-olvasó program észlelését, miközben a Windows és WinRAR felhasználókat célozza meg. A támadás egy szállítmányozó cég álcája alatt küldött adathalász e-maillel kezdődött. A „High Importance” jelzéssel ellátott e-mail mellékletként egy SHIPPING_INV_PL_BL_pdf[.]rar nevű fájlt tartalmazott. Az e-mail tartalma arra szólította fel a címzettet, hogy a küldemény továbbítása előtt nézze át a csatolt szállítási dokumentumokat. Bár a .rar kiterjesztés miatt a fájl RAR archívumnak tűnik, valójában egy összefűzött ZIP fájl. A támadók szándékosan megváltoztatták a fájl nevét, hogy elrejtsék a fájl valódi természetét, kihasználva a ZIP fájlok szerkezeti rugalmasságát, miközben a RAR-archívumok ismertségét és bizalmát is kihasználják. Ez a taktika nem csak a felhasználókat zavarja össze, hanem megkerüli az alapvető észlelési mechanizmusokat is, amelyek a fájlkiterjesztésekre támaszkodhatnak a kezdeti értékelés során.
