Хакеры захватывают ПК с помощью «кривых» архиваторов

Эксперты фирмы Trustwave выявили крупномасштабную фишинговую кампанию, в которой для распространения вредоносных программ используются специально созданные ZIP-архивы, позволяющие злоумышленникам обходить защиту почтовых шлюзов и антивирусов.

Фишинговые письма выдаются за сообщения специалиста по экспортным операциям логистической корпорации USCO Logistics. Прилагающийся архивный файл имеет большие размеры, чем его содержимое в несжатом виде, что немедленно вызвало подозрения у экспертов: должно быть ровно наоборот.

При ближайшем рассмотрении архив содержал сразу две архивные структуры, каждая — с собственными записями EOCD (это маркер окончания архива). Одна из этих структур содержит безобидный файл order.jpg, а вот во второй скрывается исполняемый файл SHIPPING_MX00034900_PL_INV_pdf.exe, на поверку оказывающийся RAT-троянцем (Remote Access Trojan, средство удаленного управления) NanoCore.

Далее исследователи обнаружили, что разные архиваторы по-разному видят этот архив. Встроенные в Windows средства отказываются его открывать как неисправный файл. WinRar 3.30 при предварительном просмотре выводит order.jpg как единственное содержимое архива, но при разархивированный исправно выгружает на диск исполняемый файл.

 

Читайте новости первыми в нашем Telegram-канале!

Подписывайтесь на наш канал в Яндекс.Дзен!

Версия для печатиВерсия для печати

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя savely

> WinRar 3.30

А подревнее не нашли? 

> при разархивированный исправно выгружает на диск исполняемый файл.

И что? 

Так при таком раскладе, его антивирус сразу вычислит, при распаковке на диск, это раз. А кто то ещё запускает exe файлы которые вам присылают? Не вижу особой опасности.

Может уже хватит новостей из пальца?