O escrocherie care vizează fișierele ZIP. Noua tehnică de a scunderea programelor malware de antivirus
Experții în securitate cibernetică se confruntă acum cu un nou atac capabil să ocolească orice barieră.„Zombie ZIP” este noua tehnică ce permite ascunderea programelor malware în fișiere ZIP și înșelarea antivirusului.
„Zombie ZIP”, a devenit metoda principală de a deghiza fișiere rău intenționate într-un pachet comprimat care, pentru orice program de securitate cibernetică, pare complet inofensiv.
Adică, profită de modul în care computerele citesc informațiile pentru a face malware-ul nedetectabil, deghizat într-un simplu fișier din folder.
O escrocherie care vizează fișierele ZIP. Noua tehnică de a scunderea programelor malware de antivirus
Chris Aziz, cercetător în securitate, a descoperit această nouă tehnică, testând-o cu 51 dintre cele mai populare programe antivirus. Doar unul a reușit să identifice probleme cu fișierul ZIP.
În rest, deși software-ul de securitate analizează fișierul, nu vede niciun virus și îți dă undă verde pentru a-l deschide, crezând că totul este în regulă.
Citește și: O nouă escrocherie îi lasă pe oameni faliți. Un site Google fals fură parole și coduri de securitate
Pentru un atacator, acesta este paradisul, deoarece creează un fel de malware fantomă . Dacă încercați să deschideți acel fișier cu WinRAR sau 7-Zip, cel mai probabil veți primi un mesaj de eroare sau vi se va spune că fișierul este corupt.
Este ușor ca antivirusul tău să-l rateze. Sunt concepute să fie rapide, așa că atunci când găsesc un fișier comprimat, cum ar fi un ZIP, citesc eticheta care îți spune ce tip de compresie folosește.
Citește și: Escrocherie simplă care lasă oamenii faliți instant. Cât de ușor fură hackerii parolele? E prea simplu
În cazul fișierului „Zombie ZIP”, atacatorul îi spune antivirusului că fișierul este format din date brute, adică necomprimat, când în realitate este comprimat folosind metoda obișnuită. Crezând că este vorba de date brute, antivirusul analizează fișierul așteptând text simplu sau cod, observă ceva care nu are sens deoarece este comprimat și raportează că nu este un virus, ci pur și simplu fișiere necomprimate.
Aici intervine cea mai ingenioasă parte a întregului proces. În mod normal, când vezi eroarea, ai crede că este doar un fișier corupt și l-ai șterge, dar atacatorul nu are nevoie să îl deschizi cu un program ca acesta. Codul lor malițios folosește un încărcător specific care extrage perfect virusul, scrie un site de specialitate.
Deși poate părea doar un alt virus, adevărul este că alertele au fost declanșate rapid. Curios este că aceasta nu este o vulnerabilitate nouă, ci mai degrabă o defecțiune observată deja în urmă cu mai bine de 20 de ani. Problema este că istoria pare să se repete. Motoarele antivirus pot fi încă păcălite de trucuri absurde bazate pe o gestionare deficitară a structurii fișierelor.
Soluția propusă specialiști ar fi ca instrumentele de securitate să nu se mai bazeze atât de mult pe încredere. Programele care analizează fișierele trebuie să nu mai creadă ce spun etichetele și să înceapă să analizeze ce se află de fapt înăuntru.
