圖片來源:Bleeping Computer
一直以來,攻擊者不停在尋找新的手段來散播惡意軟體。
同時又不會被防病毒掃描軟體和電子郵件安全閘道器檢測到。
近期,一項新的網路釣魚活動實現了此目的。
包含兩個EOCD的ZIP檔案
近日,一起冒充USCO Logistics出口操作專家運送訊息的郵件大量散佈,實際上這是一種新型的垃圾郵件,而其中的附件ZIP檔案經過特製之後能夠繞過電子郵件的安全閘道器來分發惡意的RAT。
一般來說,每個ZIP檔案必須有且只有一個End of central directory record(EOCD),即目錄結束標識。
該標識存在整個ZIP檔案的結尾,用於標記壓縮的目錄資料的結束。
研究人員之所以發現這個可疑的文件,是因為其檔案大小大於未壓縮的內容。
在對這個檔案進行檢查時,研究人員發現ZIP壓縮包中包含兩個不同的結構,每個結構都有自己的EOCD記錄標識。
這很明顯是與一般情況相違背的。
由此研究人員推斷,ZIP檔案是經過特殊設計的,才會包含兩個存檔結構。
第一個ZIP結構使用一個order.jpg檔案做誘餌,它只是一個無害的影象檔案。但是,第二個ZIP結構包含一個名為SHIPPING_MX00034900_PL_INV_pdf.exe的檔案,它實際上是一個遠端訪問木馬(RAT)。
而攻擊者這麼做的目的則是為了繞過電子郵件的安全閘道器,使其只能看到作為誘餌的影象檔案。
不同的解壓結果
此外,研究人員發現,使用不同的應用程式解壓ZIP檔案時,會出現不同的結果,這也就表明每個解壓軟體對ZIP的處理方式有所不同。
例如,使用Windows內建的ZIP解壓程式會顯示ZIP檔案無效,因此並不會提取該惡意軟體。
使用7-Zip進行測試時,它會提醒我們ZIP檔案存在問題,但依然能夠提取檔案,只不過提取出來的只有jpg影象檔案。
在使用WinRAR提取檔案時,並未發出警告,同時還提取出了惡意軟體。
在測試了眾多軟體之後,研究人員發現只有某些版本的PowerArchiver,WinRAR和較舊的7-Zip才能完整提取惡意可執行檔案。
這表明,儘管這項技術十分新穎,能夠繞過電子郵件的安全掃描,但其發揮作用的惡意負載目前還不會輕易被提取,因此受感染的受害者會比預期少很多。
* 本文由看雪編輯 LYA 編譯自 Bleeping Computer,轉載請註明來源及作者。
* 原文連結:
https://www.bleepingcomputer.com/news/security/specially-crafted-zip-files-used-to-bypass-secure-email-gateways/