Os criminosos estão sempre à procura de novas formas de ataque que resultem. Afinal de contas é isso que marca o sucesso de uma operação. Assim resolveram atacar computadores Windows. Isto utilizando a técnica de concatenação de ficheiros ZIP (combinar vários ficheiros num) para distribuir vírus sem que as soluções de segurança as detectem. Na prática a técnica explora os diferentes métodos que as aplicações de compressão e os gestores de ficheiros utilizam para lidar com ficheiros ZIP concatenados.
Esta nova tendência foi detectada pela Perception Point, que descobriu um ficheiro ZIP concatenado que escondia um trojan enquanto analisava um ataque de phishing que atraía os utilizadores com um falso aviso.
Os investigadores descobriram que o anexo estava disfarçado como um ficheiro RAR e que o malware utilizava a linguagem de script AutoIt para automatizar as tarefas maliciosas.
A primeira fase do ataque é a preparação, em que os utilizadores mal intencionados criam dois ou mais ficheiros ZIP separados e escondem o payload malicioso num deles, deixando os restantes com conteúdo inócuo.
Em seguida, os ficheiros separados são concatenados num só, anexando os dados binários de um ficheiro ao outro, fundindo os seus conteúdos num ficheiro ZIP combinado.
Embora o resultado final apareça como um ficheiro como explica o site BleepingComputer, contém várias estruturas ZIP, cada uma com o seu próprio diretório central e marcadores de fim.
A próxima fase de ataque
A próxima fase de ataqueA próxima fase do ataque depende de como as aplicações lidam com os ficheiros concatenados. O Perception Point testou o 7zip, o WinRAR e o Windows File Explorer e obteve resultados diferentes:
O 7zip só lê o primeiro ficheiro ZIP (que pode ser benigno). Depois pode gerar assim um aviso sobre dados adicionais, que os utilizadores podem não ver.
O WinRAR lê e apresenta ambas as estruturas ZIP, revelando todos os ficheiros, incluindo o payload malicioso oculto.
O Explorador de Ficheiros do Windows pode não conseguir abrir o ficheiro concatenado. Ou se for renomeado com uma extensão .RAR, pode mostrar apenas o segundo ficheiro ZIP.
Dependendo do comportamento da aplicação, os utilizadores podem afinar o seu ataque, como esconder o malware no primeiro ou no segundo ficheiro ZIP da concatenação.
Ao experimentarem o ficheiro maliciosono 7Zip, os investigadores da Perception Point viram que apenas surgia um ficheiro PDF inofensivo. Abri-lo com o Windows Explorer, no entanto, revelou o executável malicioso.
Para se defender contra ficheiros ZIP concatenados, a Perception Point sugere que os utilizadores utilizem soluções de segurança que suportem a descompactação recursiva.
