Les chercheurs en sécurité de Trustwave ont découvert une nouvelle campagne de phishing utilisant un fichier ZIP spécialement conçu, conçu pour contourner les passerelles de messagerie sécurisées, afin de distribuer le fichier RAT NanoCore.
Les utilisateurs sont ciblés par le biais d'un courrier électronique prétendant être des informations d'expédition émanant d'un spécialiste des opérations d'exportation de USCO Logistics. Une archive ZIP associée à un courrier électronique a une taille de fichier supérieure à son contenu non compressé.
Dans un nouveau Dans son rapport, Trustwave a expliqué pourquoi la taille de la ZIP suscitait la méfiance de ses chercheurs, en déclarant:
"La pièce jointe" SHIPPING_MX00034900_PL_INV_pdf.zip "fait ressortir ce message. Le fichier ZIP avait une taille de fichier considérablement supérieure à celle de son contenu non compressé. En règle générale, la taille du fichier ZIP devait être inférieure au contenu non compressé ou, dans certains cas, , Les fichiers ZIP deviendront plus volumineux que les fichiers originaux d’un nombre raisonnable d’octets. "
Sommaire
Fichiers ZIP suspects
Outre une structure spéciale contenant les données compressées et des informations sur les fichiers compressés, chaque archive ZIP contient également un seul enregistrement EOCD (End of Central Directory) utilisé pour indiquer la fin de la structure de l'archive.
Toutefois, lorsque les chercheurs de Trustwave ont examiné le fichier ZIP attaché au courrier indésirable, ils ont constaté que l’archive ZIP contenait deux structures d’archive distinctes, chacune dotée de son propre enregistrement EOCD. Une archive ZIP ne doit contenir qu'un seul enregistrement EOCD, ce qui montre que le fichier ZIP créé par les attaquants a été modifié pour contenir deux structures d'archive.
La première structure ZIP agit comme un leurre et contient un fichier image inoffensif appelé order.jpg. La deuxième structure ZIP, d’autre part, contenait un fichier exécutable contenant le cheval de Troie NanoCore Remote Access Trojan (RAT). Trustwave a ensuite déterminé que les attaquants avaient créé cette archive ZIP spécialement conçue dans le but de contourner les passerelles de messagerie sécurisées.
En essayant d'ouvrir l'archive à l'aide de plusieurs programmes d'extraction de fichiers, les chercheurs ont découvert que l'archive était traitée différemment programme par programme. Alors que l’extracteur ZIP intégré à Windows indiquait que le fichier était invalide et ne l’exportait pas, Trustwave a découvert que certaines versions de PowerArchiver, WinRar et 7-Zip étaient capables d’extraire correctement l’exécutable NanoCore.
La technique utilisée par les attaquants pourrait leur permettre de fournir des charges malveillantes capables de contourner les analyseurs de messagerie, mais en raison du mode de fonctionnement des programmes d'extraction de fichiers, le nombre d'utilisateurs infectés serait inférieur au nombre initialement prévu.
- Protégez vos appareils des dernières cyber-menaces avec le meilleur logiciel antivirus
Via l'ordinateur de saignement
