Хакеры захватывают ПК с помощью «кривых» архиваторов

Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.

Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде, что немедленно вызвало подозрения у экспертов: должно быть ровно наоборот.

При ближайшем рассмотрении архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.

Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивированный исправно выгружает на диск исполняемый файл.

 

Читайте новости первыми в нашем Telegram-канале!

Подписывайтесь на наш канал в Яндекс.Дзен!

Источник: kv.by

Вы можете оставить комментарий, или отправить trackback с Вашего собственного сайта.

Написать комментарий

Вы должны войти чтобы оставить комментарий.