هشدار محققان درباره
مهاجمان همیشه به دنبال راههای جدیدی هستند تا بتوانند بدون شناخته شدن توسط اسکنرهای آنتیویروس و لایههای امنیتی در سرویسهای ایمیلی، مانند secure email gateways، بدافزارهای خود را توزیع کنند.
بنا بر گزارشهای منتشر شده، محققان امنیتی یک کمپین جدید فیشینگ شناسایی کردهاند که از فایلهای فشرده، مانند فایلهای زیپ شده برای دور زدن لایههای امنیتی در سرویسهای ایمیلی، بهعنوان تکنیکی برای توزیع بدافزار NanoCore RAT استفاده میکند.
بهگفته محققان همه فایلهای زیپ بهکار رفته در این کمپین دارای ساختار متفاوتی با فایلهای فشرده معمول دارند. بهطور معمول هر فایل فشرده دارای یک رکورد تعریف شده برای مشخص کردن محتوا و ساختار فایلهای آرشیو شده در خود (EOCD) است که در فایلهای بهکار رفته در این کمپین، از دو رکورد EOCD استفاده شده است.
محققان با بررسی این موضوع دریافتهاند که اولین ساختار EOCD فایل زیپ، شامل یک فایل تصویری بیخطر است. اما ساختار EOCD دوم، حاوی فایل تروجان دسترسی از راه دور NanoCore است که براساس بررسیهای تکمیلی، مشخص شده که مهاجمان از این روش برای دور زدن لایههای امنیتی در سرویسهای ایمیلی استفاده میکنند.
نکته قابل توجه درمورد این فایلهای فشرده این است که هنگام تلاش برای باز کردن فایلهای آرشیوی با استفاده از برنامههای مختلف استخراج کننده، عکسالعمل متفاوت است.
برای مثال استخراجکننده Windows built-in ZIP نشان میدهد که فایل زیپ نامعتبر بوده و عملیات استخراج را نمیتواند انجام دهد. همچنین استخراجکننده 7-Zip 9.20 هشدار میدهد که فایل زیپ دچار یک مشکل است، اما در نهایت آن را استخراج میکند. اما استخراجکننده WinRAR اخطاری درباره فایل زیپ شده نمایش نمیدهد و یک فایل SHIPPING_MX00034900_PL_INV_pdf.exe را که شامل بدافزار NanoCore است، استخراج میکند.
این امر نشان میدهد که در حالی که این شیوه ممکن است به دور زدن اسکنرهای امنیتی در سرویسهای ایمیلی کمک کند، دارای عوارض جانبی از جمله دشوار بودن استخراج پیلود مخرب است. این مسئله موجب میشود که تعداد قربانیان احتمالی این کمپین بدافزاری از میزبان پیشبینی شده توسط مهاجمان کمتر باشد.
توضیحات بیشتر در:
- Specially Crafted ZIP Files Used to Bypass Secure Email Gateways