专家们观察到一个新的网络钓鱼活动,该活动使用了特制的ZIP存档,该存档旨在绕过安全的电子邮件网关来分发恶意软件。
攻击者已设计出一种新技术,可以使用特制的ZIP文件绕过安全的电子邮件网关和其他安全解决方案来分发恶意软件。
ZIP存档的结构包含压缩数据,有关压缩文件的信息以及单个“中央目录的结尾”(EOCD)记录,该记录界定了存档结构的结尾。
TrustWave的研究人员观察到一个垃圾邮件活动,该邮件使用假冒来自USCO Logistics出口操作专家的虚假运输信息消息进行垃圾邮件活动。
电子邮件附件的ZIP归档文件名为SHIPPING_MX00034900_PL_INV_pdf.zip,由于其文件大小大于未压缩的内容,因此变得可疑。
“附件“ SHIPPING_MX00034900_PL_INV_pdf.zip”的文件大小明显大于其未压缩内容的大小。通常,ZIP文件的大小应小于未压缩的内容,或者在某些情况下,ZIP文件将比原始文件大合理的字节数。”
ZIP存档看起来是经过精心设计的,包含两个不同的存档结构,每个结构都会攻击自己的EOCD记录。
第一个ZIP结构包含一个decoy order.jpg文件,而第二个ZIP结构包含一个名为SHIPPING_MX00034900_PL_INV_pdf.exe的文件,即NanoCore RAT。
此活动背后的攻击者精心编制了ZIP存档文件,以绕过安全电子邮件网关,使他们只分析隐藏恶意软件的无害诱饵图像文件。
专家们发现,不同的存档工具(例如,Windows内置的ZIP提取器)以不同的方式查看的ZIP内容。
当专家尝试使用WinRar 3.30版打开ZIP存档时,该软件会在其UI中显示“ order.jpg”作为ZIP附件的唯一内容。但它提取了“ SHIPPING_MX00034900_PL_INV_pdf.exe”。
报告总结道:“此示例向网关扫描仪提出了挑战。根据所使用的解压缩引擎的类型,很有可能只有诱饵文件会被仔细检查和审查,而恶意内容则不会被注意到——就像一些最流行的存档工具没有注意到第二个ZIP结构一样。不管网关做什么,只有当消息通过网关并且最终用户使用特定的存档实用程序(如上面所述的某些版本的PowerArchiver、WinRar和较旧的7Zip)时,此攻击才会成功。”
