Trustwave'den güvenlik araştırmacıları, özel tasarlanmış ZIP dosyalarının kullanıldığı yeni bir olta saldırısı kampanyası keşfetti.
Spam epostanın hedefi olan kullanıcılar, USCO Logistics'ten bir ihracat uzmanı tarafından gönderiliyor gibi görünen eposta alıyorlar. Epostanın içerisinde, ilginç biçimde sıkıştırılmamış boyutundan daha büyük olan bir ZIP dosyası yer alıyor. "SHIPPING_MX00034900_PL_INV_pdf.zip" adıyla gelen dosya, güvenlik araştırmacıları arasında şu nedenle şüphe uyandırdı:
"SHIPPING_MX00034900_PL_INV_pdf.zip ek dosyası, bu mesajın öne çıkmasını sağlıyor. ZIP dosyasının boyutu, sıkıştırılmamış içerik boyutundan önemli ölçüde daha büyük. ZIP dosyasının boyutu, sıkıştırılmamış veriden genellikle daha küçüktür. Bazı durumlarda ZIP dosyasının boyutu, makul sayıda bayt kadar daha büyük olabilir."
Tüm ZIP dosyaları, sıkıştırılmış veriyi içeren özel yapısının yanında, arşivin sonunu bildiren bir Merkezi dizin Sonu (EOCD) kaydı içerir. Trustwave araştırmacıları, şüpheli ZIP dosyasının bu kayıttan iki tane içerdiğini fark etti. Dolayısıyla tek bir ZIP içerisinde iki ZIP yapısı bulunuyor.
İlk ZIP yapısı, tuzak olarak kullanılıyor ve order.jpg adında zararsız bir dosya içeriyor. İkinci ZIP yapısının içerisinde ise NanoCore Uzaktan Erişim Trojanı (RAT) bulunuyor. TrustWave, saldırganların bu şekilde güvenli eposta geçitlerini aştığını söylüyor.
Araştırmacılar, farklı programların ZIP dosyasına farklı şekilde davrandığını, Windows'un dahili ZIP işlevinin dosyayı açmadığını, PowerArchiver, WinRar ve 7-Zip'in arşivi açtığını ve NanoCore uygulamasını çalıştırabildiğini söylüyor.
Zararlı, bu yöntemle eposta geçitlerini aşsa da, bazi arşiv programlarında çalışmadığından ve antivirüsleri de aşması gerektiğinden, büyük bir tehlikeye yol açacak gibi görünmüyor.