Os hackers estão mirando máquinas Windows usando a técnica de concatenação de arquivos ZIP para entregar cargas maliciosas em arquivos compactados sem que as soluções de segurança os detectem.
A técnica explora os diferentes métodos que os analisadores ZIP e gerenciadores de arquivos usam para manipular arquivos ZIP concatenados.
Essa nova tendência foi identificada pela Perception Point , que descobriu um arquivo ZIP concatenado escondendo um trojan enquanto analisava um ataque de phishing que atraía usuários com um aviso de remessa falso.
Os pesquisadores descobriram que o anexo estava disfarçado como um arquivo RAR e o malware aproveitou a linguagem de script AutoIt para automatizar tarefas maliciosas.
Escondendo malware em ZIPs “quebrados”
O primeiro estágio do ataque é a preparação, onde os agentes da ameaça criam dois ou mais arquivos ZIP separados e ocultam a carga maliciosa em um deles, deixando o restante com conteúdo inócuo.
Em seguida, os arquivos separados são concatenados em um, anexando os dados binários de um arquivo ao outro, mesclando seus conteúdos em um arquivo ZIP combinado.
Embora o resultado final apareça como um arquivo, ele contém várias estruturas ZIP, cada uma com seu próprio diretório central e marcadores finais.
Explorando falhas do aplicativo ZIP
A próxima fase do ataque depende de como os analisadores ZIP lidam com arquivos concatenados. A Perception Point testou 7zip, WinRAR e Windows File Explorer com resultados diferentes:
- O 7zip lê apenas o primeiro arquivo ZIP (o que pode ser benigno) e pode gerar um aviso sobre dados adicionais, que os usuários podem perder
- O WinRAR lê e exibe ambas as estruturas ZIP, revelando todos os arquivos, incluindo a carga maliciosa oculta.
- O Windows File Explorer pode não conseguir abrir o arquivo concatenado ou, se renomeado com uma extensão .RAR, pode exibir apenas o segundo arquivo ZIP.
Dependendo do comportamento do aplicativo, os agentes da ameaça podem ajustar seu ataque, como ocultar o malware no primeiro ou no segundo arquivo ZIP da concatenação.
Tentando o arquivo malicioso do ataque ao 7Zip, os pesquisadores da Perception Point viram que apenas um arquivo PDF inofensivo foi mostrado. Abri-lo com o Windows Explorer, no entanto, revelou o executável malicioso.
Para se defender contra arquivos ZIP concatenados, a Perception Point sugere que usuários e organizações usem soluções de segurança que suportem descompactação recursiva.
Geralmente, e-mails com anexos ZIPs ou outros tipos de arquivos compactados devem ser tratados com suspeita, e filtros devem ser implementados em ambientes críticos para bloquear as extensões de arquivo relacionadas.
