ZIP Dosyası İçinde Görünmeyen Zararlı

Yeni bir olta saldırısı türü, sıkıştırılmış ZIP dosyalarını kurcalayarak güvenlik geçitlerini kandırmayı başardı!

ZIP Dosyası İçinde Görünmeyen Zararlı

Trustwave'den güvenlik araştırmacıları, özel tasarlanmış ZIP dosyalarının kullanıldığı yeni bir olta saldırısı kampanyası keşfetti.

Spam epostanın hedefi olan kullanıcılar, USCO Logistics'ten bir ihracat uzmanı tarafından gönderiliyor gibi görünen eposta alıyorlar. Epostanın içerisinde, ilginç biçimde sıkıştırılmamış boyutundan daha büyük olan bir ZIP dosyası yer alıyor. "SHIPPING_MX00034900_PL_INV_pdf.zip" adıyla gelen dosya, güvenlik araştırmacıları arasında şu nedenle şüphe uyandırdı:

"SHIPPING_MX00034900_PL_INV_pdf.zip ek dosyası, bu mesajın öne çıkmasını sağlıyor. ZIP dosyasının boyutu, sıkıştırılmamış içerik boyutundan önemli ölçüde daha büyük. ZIP dosyasının boyutu, sıkıştırılmamış veriden genellikle daha küçüktür. Bazı durumlarda ZIP dosyasının boyutu, makul sayıda bayt kadar daha büyük olabilir."

Tüm ZIP dosyaları, sıkıştırılmış veriyi içeren özel yapısının yanında, arşivin sonunu bildiren bir Merkezi dizin Sonu (EOCD) kaydı içerir. Trustwave araştırmacıları, şüpheli ZIP dosyasının bu kayıttan iki tane içerdiğini fark etti. Dolayısıyla tek bir ZIP içerisinde iki ZIP yapısı bulunuyor.

İlk ZIP yapısı, tuzak olarak kullanılıyor ve order.jpg adında zararsız bir dosya içeriyor. İkinci ZIP yapısının içerisinde ise NanoCore Uzaktan Erişim Trojanı (RAT) bulunuyor. TrustWave, saldırganların bu şekilde güvenli eposta geçitlerini aştığını söylüyor.

Araştırmacılar, farklı programların ZIP dosyasına farklı şekilde davrandığını, Windows'un dahili ZIP işlevinin dosyayı açmadığını, PowerArchiver, WinRar ve 7-Zip'in arşivi açtığını ve NanoCore uygulamasını çalıştırabildiğini söylüyor.

Zararlı, bu yöntemle eposta geçitlerini aşsa da, bazi arşiv programlarında çalışmadığından ve antivirüsleri de aşması gerektiğinden, büyük bir tehlikeye yol açacak gibi görünmüyor.

Okuyucu Yorumları

Toplam 1 Yorum

Kullanıcılara tavsiyem Winrar'ın güvenlik özelliklerini aktive etmeleridir. Ayarlar > Güvenlik sekmesinde çıkartılmayacak dosya türlerini girin! Geçici dosyaları her zaman temizleyi işaretleyin! Ayarlar > Bütünleşme sekmesinde ise, Winrar'ı sadece RAR ve ZIP dosyaları ile ilişkilendirin! Ayarları backup'layıp arkadaşlarınıza gönderebilirsiniz. >>>

Sen de yorum yaz

 

CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda
Apple Store
Google Play