Фишеры прячут вирус в алгоритме кривых архиваторов

Опубликовано at 21:17
321 0

Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.

Дело в том, что вредоносное содержимое в специально подготовленном архивном файле не распознается антивирусами и защитными средствами почтовых шлюзов. Таким образом фишеры рассылают RAT-троянец и достигают успеха.

Послания замаскированы под сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Внимание специалистов сразу обратил на себя внимание странный факт: прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде.

Оказалось, что созданный умельцами архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.

Разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. А вот WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивировании исправно выгружает на диск исполняемый файл.

Таким образом, есть значительный риск, что средства безопасности системы увидят только файл-приманку, а вирус пропустят внутрь. Это сработает не со всеми архиваторами, но все равно процент гарантированных попаданий достаточно большой, чтобы злоумышленники рассчитывали на успех.

Читайте также на АКБ:

Новая «файловая бомба» взрывает размер архива в миллионы раз

Подписываемся, следим @CyberAgency

Related Post

14-летний иранский гений написал вирус-уничтожитель умных устройств – вредонос уже на свободе

Опубликовано - 26.06.2019 0
В Сети обнаружена новая вредоносная программа-«кирпичер» под названием Silex, специально предназначенная для вывода из строя устройств из сферы «Интернета вещей».…

Украинские хакеры переоформили на заказчиков тысячи квартир и машин

Опубликовано - 27.09.2019 0
Весьма громкое дело раскрыли Сотрудники Департамента киберполиции, Главного следственного управления Национальной полиции и Службы безопасности Украины. Правоохранители пресекли деятельность преступной…

Новый алгоритм Роскомнадзора заблокировал весь интернет через провайдера «Транстелеком»

Опубликовано - 15.03.2018 0
Перед выборами Роскомнадзор разошёлся. Вчера вечером провайдер «Транстелеком» по требованию Роскомнадзора заблокировал для своих абонентов все адреса в Интернете по…