Gli archivi SFX sono usati per condividere file compressi con qualcuno che non ha WinRAR sul computer. I ricercatori di CrowdStrike hanno scoperto che vengono sfruttati per nascondere file infetti in grado di installare backdoor, aggirando le misure di sicurezza del sistema operativo.
Attenzione agli archivi SFX
Oltre con WinRAR, gli archivi auto-estraenti SFX possono essere creati con 7-Zip. Spesso sono protetti da password per la condivisione dei file compressi in ambito aziendale. Il noto Emotet è stato distribuito anche tramite archivi SFX che, quando aperti dall’utente, installano il malware sul computer. Gli esperti di CrowdStrike hanno individuato una nuova tattica.
Ignoti cybercriminali hanno usato archivi WinRAR SFX per installare una backdoor, dopo aver guadagnato l’accesso a Windows con credenziali rubate. Per ottenere la persistenza, ovvero l’esecuzione automatica all’avvio del sistema operativo, viene aggiunta una chiave nel registro che usa l’applicazione Utilman per eseguire il file SFX prima del login.
Una delle funzionalità avanzate di WinRAR SFX consente di includere comandi da eseguire subito dopo la decompressione dei file. In questo caso vengono eseguiti powershell.exe, cmd.exe e taskmgr.exe, nascondendo ogni finestra. Dato che l’archivio viene eseguito prima del login è possibile installare una backdoor sul computer con privilegi elevati. Il malware viene eseguito in background e l’utente vede un documento “esca” sullo schermo.
Si dovrebbe quindi esaminare il contenuto dell’archivio SFX e identificare eventuali comandi pericolosi prima di eseguire il file. Molti antivirus non rilevano questo tipo di minaccia.
Ti potrebbe interessare
4 apr 2023