Új adathalász technika vált ismertté: hackerek összefűzött ZIP fájlokkal juttattak káros kódot a célrendszerre. A Perception Point közölése szerint egy Windows rendszereket célzó adathalász támadás elemzése során észlelték ezt az új módszert.
A támadás két lépése
A támadók a támadás előkészítése során létrehoznak két vagy több különálló ZIP archívumot, amelyek közül csak az egyikben rejtenek rosszindulatú programot. Ezután a különálló fájlokat összefűzik, így a végeredmény egyetlen ZIP fájlként jelenik meg, ami valójában több önálló ZIP struktúrát tartalmaz – mindegyik rendelkezik saját központi könyvtárral és header-rel.
A ZIP app hibáinak kihasználása
A támadás következő lépése nagyban függ attól, hogy a felhasználó milyen alkalmazással nyitja meg a fájlt. A Perception Point tesztelte a 7zip-et, a WinRAR-t és a Windows File Explorert, mely során az alábbiakat tapasztalták:
- 7zip: csak az első ZIP archívumot olvassa be – ami nem feltétlenül tartalmaz káros kódot –, ezután pedig generálhat egy figyelmeztetést arról, hogy a fájl további adatokat is tartalmazhat, amit a felhasználók könnyen figyelmen kívül hagyhatnak
- WinRAR: mindkét ZIP struktúrát beolvassa és megjeleníti, felfedve az összes fájlt, köztük az elrejtett rosszindulatú programot is.
- Windows File Explorer: előfordulhat, hogy nem tudja megnyitni az összefűzött fájlt, azonban ha .RAR kiterjesztésre nevezi át, előfordulhat, hogy csak a második ZIP-archívumot jeleníti meg.
Amikor a fájlt 7Zip-pel nyitották meg, a Perception Point vizsgálata során csak egy ártalmatlan PDF fájl jelent meg, a Windows Intézővel való megnyitás azonban felfedte, hogy az egy futtatható fájlt tartalmaz (lásd: 3. ábra).
Védekezési javaslatok
- Az ilyen támadások kivédése érdekében a Perception Point azt javasolja, hogy olyan biztonsági megoldásokat használjunk, amelyek támogatják a rekurzív kicsomagolást.
- A ZIP fájlokat vagy más archív fájltípusokat tartalmazó e-maileket kezeljük kiemelt óvatossággal!
