Windows: concatenazione file ZIP usata per distribuire malware

Alcuni gruppi hacker stanno prendendo di mira i computer Windows utilizzando la tecnica di concatenazione dei file ZIP per distribuire payload dannosi in archivi compressi senza che le soluzioni di sicurezza li rilevino. Tale tecnica sfrutta i diversi metodi con cui i parser ZIP e i gestori di archivi gestiscono i file ZIP concatenati. Questa nuova tendenza è stata individuata dalla società di sicurezza Perception Point, la quale ha notato un archivio ZIP concatenato che nascondeva un trojan. La scoperta è avvenuta durante l’analisi di un attacco di phishing che adescava gli utenti con un falso avviso di spedizione. I ricercatori hanno rilevato che l'allegato era camuffato da archivio RAR e il malware sfruttava il linguaggio di scripting AutoIt per automatizzare le attività dannose.

Windows: come funziona l’attacco per distribuire payload dannosi

La prima fase dell'attacco è la preparazione. Gli hacker creano infatti due o più file ZIP separati e nascondono il payload dannoso in uno di essi, lasciando il resto con contenuti innocui. Successivamente, i file separati vengono concatenati in uno aggiungendo i dati binari di un file all'altro, unendo i loro contenuti in un archivio ZIP combinato. Sebbene il risultato finale appaia come un file unico, contiene più strutture ZIP, ciascuna con la propria directory centrale e marcatori finali.

La fase successiva dell'attacco si basa sul modo in cui i parser ZIP gestiscono gli archivi concatenati. Perception Point ha testato 7zip, WinRAR e Windows File Explorer con risultati diversi. 7zip legge solo il primo file ZIP (che potrebbe essere benigno) e potrebbe generare un avviso su dati aggiuntivi, che gli utenti potrebbero non notare. WinRAR legge e visualizza entrambe le strutture ZIP, rivelando tutti i file, incluso il payload dannoso nascosto. Infine, Esplora file di Windows potrebbe non riuscire ad aprire il file concatenato. Inoltre, se rinominato con un'estensione .RAR, potrebbe visualizzare solo il secondo archivio ZIP.

A seconda del comportamento dell'app, gli hacker potrebbero perfezionare l’attacco, ad esempio nascondendo il malware nel primo o nel secondo archivio ZIP della concatenazione. Provando il file dannoso dall'attacco su 7Zip, i ricercatori di Perception Point hanno visto che veniva mostrato solo un file PDF innocuo. Aprendolo con Windows Explorer, tuttavia, è stato rivelato l'eseguibile dannoso. Per difendersi dai file ZIP concatenati, Perception Point suggerisce che utenti e organizzazioni utilizzino soluzioni di sicurezza che supportino la decompressione ricorsiva. In genere, le e-mail che allegano ZIP o altri tipi di file di archivio dovrebbero essere trattate con sospetto. Infine, è anche consigliato includere filtri in ambienti critici per bloccare le estensioni di file correlate.