Les pirates ciblent les machines Windows en utilisant la technique de concaténation de fichiers ZIP pour fournir des charges utiles malveillantes dans des archives compressées sans que les solutions de sécurité ne les détectent.

La technique exploite les différentes méthodes des analyseurs ZIP et des gestionnaires d’archives pour gérer les fichiers ZIP concaténés.

Cette nouvelle tendance a été repérée par Perception Point, qui a découvert une archive ZIP concatentée cachant un cheval de Troie lors de l’analyse d’une attaque de phishing qui a attiré les utilisateurs avec un faux avis d’expédition.

Les chercheurs ont découvert que la pièce jointe était déguisée en archive RAR et que le logiciel malveillant exploitait le langage de script AutoIt pour automatiser les tâches malveillantes.

E-mail de phishing masquant un cheval de Troie dans un fichier ZIP concaténé

Cacher des logiciels malveillants dans des ZIPs  » cassés”
La première étape de l’attaque est la préparation, où les auteurs de la menace créent au moins deux archives ZIP distinctes et cachent la charge utile malveillante dans l’une d’elles, laissant le reste avec un contenu inoffensif.

Ensuite, les fichiers séparés sont concaténés en un seul en ajoutant les données binaires d’un fichier à l’autre, fusionnant leur contenu en une archive ZIP combinée.

Bien que le résultat final apparaisse sous la forme d’un seul fichier, il contient plusieurs structures ZIP, chacune avec son propre répertoire central et ses marqueurs de fin.

Structure interne des fichiers ZIP

Exploiter les failles de l’application ZIP
La phase suivante de l’attaque repose sur la façon dont les analyseurs ZIP gèrent les archives concaténées. Perception Point a testé 7 zip, WinRAR et l’Explorateur de fichiers Windows avec différents résultats:

  • 7zip ne lit que la première archive ZIP (qui pourrait être bénigne) et peut générer un avertissement sur des données supplémentaires, que les utilisateurs peuvent manquer
  • WinRAR lit et affiche les deux structures ZIP, révélant tous les fichiers, y compris la charge utile malveillante cachée.
  • L’Explorateur de fichiers Windows peut ne pas ouvrir le fichier concaténé ou, s’il est renommé avec un .Extension RAR, peut afficher uniquement la deuxième archive ZIP.

En fonction du comportement de l’application, les auteurs de menaces peuvent affiner leur attaque, par exemple en cachant le logiciel malveillant dans la première ou la deuxième archive ZIP de la concaténation.

En essayant l’archive malveillante de l’attaque sur 7Zip, les chercheurs de Perception Point ont constaté que seul un fichier PDF inoffensif était affiché. L’ouvrir avec l’explorateur Windows, cependant, a révélé l’exécutable malveillant.

7 zip (en haut) et Explorateur de fichiers Windows (en bas) ouvrant le même fichier

Pour se défendre contre les fichiers ZIP concaténés, Perception Point suggère aux utilisateurs et aux organisations d’utiliser des solutions de sécurité prenant en charge le déballage récursif.

En règle générale, les courriels joignant des ZIPs ou d’autres types de fichiers d’archive doivent être traités avec suspicion et des filtres doivent être mis en œuvre dans des environnements critiques pour bloquer les extensions de fichiers associées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *