Поделиться
Испорченные архивы ZIP позволяют протаскивать вредоносы сквозь почтовые фильтры
Хакеры рассылают архивы и документы с вредоносным содержимым, специально повреждая их, чтобы сделать автоматическое сканирование невозможным. Зато Microsoft Office, Outlook и архиваторы потом восстанавливают файлы с помощью встроенных функций.
Порченая контрабанда
Исследователи группы ANY.RUN описали активную кампанию кибератак с использованием испорченных архивов ZIP и вредоносных файлов Microsoft Office для обхода антивирусов и защиты электронной почты.
«Текущая атака позволяет обходить антивирусные программы, препятствует загрузке в защищенные среды и обходит спам-фильтры Outlook, позволяя вредоносному ПО попадать в ваши почтовые ящики», – пишут исследователи.
Злоумышленники рассылают почтовые сообщения с ZIP-архивами или вложенными файлами Office, которые преднамеренно повреждены так, чтобы автоматизированные защитные средства не могли их просканировать – и соответственно, не помечали их как подозрительные.
Естественно, такие письма имеют фишинговую природу, и их адресатов всячески пытаются убедить открыть вложения, обещая бонусы и привилегии для работников. Поврежденные файлы, по идее, не должны открываться. Однако, и архиватор WinRAR (обрабатывающий ZIP-файлы), и Word, и Outlook снабжены механизмами восстановления данных и целостности файлов, так что, в конечном счете, эти программы реставрируют и вредоносное содержимое.
В частности, рассылаемые документы содержат QR-коды, которые перенаправляют пользователей на вредоносные сайты, откуда им закачиваются вредоносы, или на поддельные страницы с полями для сбора логинов и паролей.
Антивирусы не у дел
Эксперты ANY.RUN полагают, что эти методы применяются серийно самое позднее с августа 2024 г., причем большинство защитных средств – антивирусы и т.д. – не видят вредоносную начинку этих файлов. По мнению исследователей, проблема именно в том, как защитные решения обрабатывают (а точнее, не обрабатывают) файлы такого типа. Microsoft Office и архиваторы, в свою очередь, осуществляют обработку без всяких затруднений.
«Это, безусловно, архитектурная уязвимость и довольно существенная, – отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Проблему можно устранить, если настроить фильтры таким образом, чтобы не просканированные вложения в принципе не проходили на конечные почтовые ящики, но самое главное – это чтобы работники знали, что открывать вложения из непроверенных источников нельзя, и что поврежденные архивы и документы могут также представлять угрозу».
Эксперт добавила, что теперь, когда этот прием стал общеизвестным, разработчики антивирусов и почтовых фильтров примут дополнительные меры.
Короткая ссылка
