Vorsicht vor ZIP-Dateien: Hacker verstecken Malware in komprimierten Ordnern
Entdeckt wurde der neue Trend bei der Untersuchung eines Phishing-Angriffs, bei dem die Opfer mit einer gefälschten Versandmitteilung von WeTransfer in die Falle gelockt wurden. Im Anhang fand sich ein vermeintliches RAR-Archiv, also eine Datei eines alternativen Kompressionsverfahrens zu ZIP, das eine Malware enthielt.
Bei der aktuellen Kampagne erstellen die Kriminellen zwei oder mehr getrennte ZIP- oder RAR-Archive, wobei die Malware zwischen harmlosen Dateien in einem der Archive versteckt wird. Dann werden diese Archive zu einem einzigen ZIP-Archiv zusammengeführt, indem die Binärdaten einer Datei der anderen hinzugefügt werden. So entsteht eine Datei mit mehreren ZIP-Strukturen, jede mit ihrem eigenen zentralen Verzeichnis und Endmarkierungen.
Die nächste Phase des Angriffs nutzt Schwachstellen der Programme aus, die ZIP-Dateien entpacken. Die Sicherheitsforscher testeten die beliebten Programme 7zip, WinRAR und Windows File Explorer. Die Ergebnisse fielen durchaus unterschiedlich aus. 7zip liest nur das erste ZIP-Archiv aus, in dem sich die Malware normalerweise nicht befindet. Dann warnt das Programm vor zusätzlichen Dateien, was Nutzer jedoch häufig übersehen. WinRAR hingegen liest sowohl die über- als auch die untergeordneten ZIP-Archive aus. So werden alle Dateien, auch die Malware, sichtbar. Der Windows File Explorer kann die verkettete Datei möglicherweise gar nicht öffnen oder, wenn sie mit der Erweiterung .RAR umbenannt wurde, nur das zweite ZIP-Archiv anzeigen.
Je nachdem, welches Programm beim Entpacken zum Einsatz kommt, können die Cyberkriminellen nun ihren Angriff anpassen, indem sie die Malware im ersten oder zweiten ZIP-Archiv der Verkettung verstecken. Beim Ausprobieren des kompromittierten Archivs aus dem Angriff auf 7Zip stellten die Forscher von Perception Point beispielsweise fest, dass nur eine harmlose PDF-Datei angezeigt wurde. Beim Öffnen derselben Datei mit dem Windows Explorer wurde jedoch die Malware angezeigt.
Um sich vor der neuen Masche zu schützen empfehlen die Sicherheitsexperten, eine Sicherheitssoftware zu nutzen, die rekursives Entpacken unterstützt. Darüber hinaus sollten Nutzer mit E-Mail-Anhängen mit ZIP- oder ähnlichen Dateiendungen grundsätzlich vorsichtig umgehen. In kritischen Netzwerkumgebungen sollten Filter implementiert werden, die verdächtige Dateiendungen grundsätzlich blockieren.
Über die 8com GmbH & Co. KG
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
