Hackers estão mirando máquinas Windows usando a técnica de concatenação de arquivos ZIP para entregar payloads maliciosos em arquivos comprimidos sem que as soluções de segurança os detectem.
A técnica explora os diferentes métodos que os parsers de ZIP e os gerenciadores de arquivos usam para lidar com arquivos ZIP concatenados.
Essa nova tendência foi identificada pela Perception Point, que descobriu um arquivo ZIP concatenado escondendo um trojan enquanto analisava um ataque de phishing que atraía usuários com um aviso falso de envio.
Os pesquisadores descobriram que o anexo estava disfarçado como um arquivo RAR e o malware aproveitava a linguagem de script AutoIt para automatizar tarefas maliciosas.
O primeiro estágio do ataque é a preparação, onde os atores de ameaças criam dois ou mais arquivos ZIP separados e escondem o payload malicioso em um deles, deixando o restante com conteúdo inócuo.
Em seguida, os arquivos separados são concatenados em um, anexando os dados binários de um arquivo ao outro, mesclando seus conteúdos em um único arquivo ZIP combinado.
Embora o resultado final pareça um arquivo único, ele contém múltiplas estruturas ZIP, cada uma com seu próprio diretório central e marcadores de fim.
A próxima fase do ataque depende de como os parsers de ZIP lidam com arquivos concatenados.
A Perception Point testou o 7zip, WinRAR e o Explorador de Arquivos do Windows com resultados distintos:
- O 7zip só lê o primeiro arquivo ZIP (que pode ser benigno) e pode gerar um aviso sobre dados adicionais, que os usuários podem não notar.
- O WinRAR lê e exibe ambas as estruturas ZIP, revelando todos os arquivos, incluindo o payload malicioso escondida.
- O Explorador de Arquivos do Windows pode falhar ao abrir o arquivo concatenado ou, se renomeado com uma extensão .RAR, pode exibir apenas o segundo arquivo ZIP.
Dependendo do comportamento do app, os atores de ameaças podem ajustar seu ataque, como escondendo o malware no primeiro ou no segundo arquivo ZIP da concatenação.
Ao testar o arquivo malicioso do ataque no 7Zip, os pesquisadores da Perception Point viram que apenas um arquivo PDF inofensivo foi mostrado.
Ao abri-lo com o Explorador de Windows, no entanto, o executável malicioso foi revelado.
Para se defender contra arquivos ZIP concatenados, a Perception Point sugere que usuários e organizações usem soluções de segurança que suportem descompactação recursiva.
Geralmente, e-mails que anexam ZIPs ou outros tipos de arquivo de arquivamento devem ser tratados com suspeita, e filtros devem ser implementados em ambientes críticos para bloquear as extensões de arquivos relacionadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...