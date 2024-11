Gli esperti di Perception Point hanno individuato una nuova tecnica che permette di evitare la rilevazione dei malware. I cybercriminali sfruttano archivi ZIP concatenati perché il contenuto viene letto in modo differente dai software. Il caso analizzato riguarda un trojan per Windows distribuito tramite email di phishing.

Malware nascosto in ZIP concatenati

La concatenazione permette di combinare più archivi ZIP in un singolo file, ad esempio tramite il comando cat pt1.zip pt2.zip > combined.zip . I “lettori” ZIP elaborano l’archivio concatenato in modo differente. Il software 7zip mostra solo il contenuto del primo archivio ( pt1.zip ), mentre WinRAR visualizza il contenuto del secondo archivio ( pt2.zip ). Infine, Esplora file di Windows non può aprire l’archivio concatenato e mostra un messaggio di errore. Il secondo archivio viene visualizzato cambiando l’estensione a RAR.

Gli esperti di Perception Point hanno scoperto l’uso della concatenazione durante un recente attacco. La vittima riceve un’email di phishing con un archivio RAR in allegato. Nonostante l’estensione RAR, si tratta di un archivio ZIP concatenato che nasconde un documento PDF e il malware. Il software 7zip mostra solo il file PDF (innocuo).

WinRAR e Esplora File visualizzano invece l’eseguibile del malware. Quest’ultimo sfrutta il linguaggio di scripting AutoIt per eseguire varie attività, come il download di altri payload (trojan bancari e ransomware). Dopo aver segnalato il problema, gli sviluppatori di 7zip hanno risposto che non è un bug, ma una funzionalità.

Anche se molto popolare essendo open source, 7zip non rileva correttamente il contenuto degli archivi concatenati, quindi è preferibile usare altri tool. Gli utenti devono prestare molta attenzione agli allegati ricevuti e utilizzare una soluzione di sicurezza che supporta il “recursive unpacking”.