Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.
Дело в том, что вредоносное содержимое в специально подготовленном архивном файле не распознается антивирусами и защитными средствами почтовых шлюзов. Таким образом фишеры рассылают RAT-троянец и достигают успеха.
Послания замаскированы под сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Внимание специалистов сразу обратил на себя внимание странный факт: прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде.
Оказалось, что созданный умельцами архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.
Разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. А вот WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивировании исправно выгружает на диск исполняемый файл.
Таким образом, есть значительный риск, что средства безопасности системы увидят только файл-приманку, а вирус пропустят внутрь. Это сработает не со всеми архиваторами, но все равно процент гарантированных попаданий достаточно большой, чтобы злоумышленники рассчитывали на успех.
Читайте также на АКБ:
Новая «файловая бомба» взрывает размер архива в миллионы раз
