ZIP-Dateien gehören bereits seit vielen Jahren zum Standard, wenn es darum geht, große oder viele Dateien auf einmal zu verschicken. Auch Dienste wie WeTransfer, mit denen sich Dateien verschicken lassen, die für eine normale E-Mail zu groß sind, greifen auf ZIP-Dateien zurück. Doch man sollte sich die komprimierten Dateien genau ansehen, bevor man sie entpackt, also aus dem ZIP-Archiv in normale Dateien umwandelt. Denn Cyberkriminelle nutzen die Technik derzeit, um unbemerkt Malware zu verbreiten, wie Sicherheitsexperten von Perception Point berichten.
Entdeckt wurde der neue Trend bei der Untersuchung eines Phishing-Angriffs, bei dem die Opfer mit einer gefälschten Versandmitteilung von WeTransfer in die Falle gelockt wurden. Im Anhang fand sich ein vermeintliches RAR-Archiv, also eine Datei eines alternativen Kompressionsverfahrens zu ZIP, das eine Malware enthielt.
Bei der aktuellen Kampagne erstellen die Kriminellen zwei oder mehr getrennte ZIP- oder RAR-Archive, wobei die Malware zwischen harmlosen Dateien in einem der Archive versteckt wird. Dann werden diese Archive zu einem einzigen ZIP-Archiv zusammengeführt, indem die Binärdaten einer Datei der anderen hinzugefügt werden. So entsteht eine Datei mit mehreren ZIP-Strukturen, jede mit ihrem eigenen zentralen Verzeichnis und Endmarkierungen.
Die nächste Phase des Angriffs nutzt Schwachstellen der Programme aus, die ZIP-Dateien entpacken. Die Sicherheitsforscher testeten die beliebten Programme 7zip, WinRAR und Windows File Explorer. Die Ergebnisse fielen durchaus unterschiedlich aus. 7zip liest nur das erste ZIP-Archiv aus, in dem sich die Malware normalerweise nicht befindet. Dann warnt das Programm vor zusätzlichen Dateien, was Nutzer jedoch häufig übersehen. WinRAR hingegen liest sowohl die über- als auch die untergeordneten ZIP-Archive aus. So werden alle Dateien, auch die Malware, sichtbar. Der Windows File Explorer kann die verkettete Datei möglicherweise gar nicht öffnen oder, wenn sie mit der Erweiterung .RAR umbenannt wurde, nur das zweite ZIP-Archiv anzeigen.
Je nachdem, welches Programm beim Entpacken zum Einsatz kommt, können die Cyberkriminellen nun ihren Angriff anpassen, indem sie die Malware im ersten oder zweiten ZIP-Archiv der Verkettung verstecken. Beim Ausprobieren des kompromittierten Archivs aus dem Angriff auf 7Zip stellten die Forscher von Perception Point beispielsweise fest, dass nur eine harmlose PDF-Datei angezeigt wurde. Beim Öffnen derselben Datei mit dem Windows Explorer wurde jedoch die Malware angezeigt.
Um sich vor der neuen Masche zu schützen empfehlen die Sicherheitsexperten, eine Sicherheitssoftware zu nutzen, die rekursives Entpacken unterstützt. Darüber hinaus sollten Nutzer mit E-Mail-Anhängen mit ZIP- oder ähnlichen Dateiendungen grundsätzlich vorsichtig umgehen. In kritischen Netzwerkumgebungen sollten Filter implementiert werden, die verdächtige Dateiendungen grundsätzlich blockieren.
Entdeckt wurde der neue Trend bei der Untersuchung eines Phishing-Angriffs, bei dem die Opfer mit einer gefälschten Versandmitteilung von WeTransfer in die Falle gelockt wurden. Im Anhang fand sich ein vermeintliches RAR-Archiv, also eine Datei eines alternativen Kompressionsverfahrens zu ZIP, das eine Malware enthielt.
Bei der aktuellen Kampagne erstellen die Kriminellen zwei oder mehr getrennte ZIP- oder RAR-Archive, wobei die Malware zwischen harmlosen Dateien in einem der Archive versteckt wird. Dann werden diese Archive zu einem einzigen ZIP-Archiv zusammengeführt, indem die Binärdaten einer Datei der anderen hinzugefügt werden. So entsteht eine Datei mit mehreren ZIP-Strukturen, jede mit ihrem eigenen zentralen Verzeichnis und Endmarkierungen.
Die nächste Phase des Angriffs nutzt Schwachstellen der Programme aus, die ZIP-Dateien entpacken. Die Sicherheitsforscher testeten die beliebten Programme 7zip, WinRAR und Windows File Explorer. Die Ergebnisse fielen durchaus unterschiedlich aus. 7zip liest nur das erste ZIP-Archiv aus, in dem sich die Malware normalerweise nicht befindet. Dann warnt das Programm vor zusätzlichen Dateien, was Nutzer jedoch häufig übersehen. WinRAR hingegen liest sowohl die über- als auch die untergeordneten ZIP-Archive aus. So werden alle Dateien, auch die Malware, sichtbar. Der Windows File Explorer kann die verkettete Datei möglicherweise gar nicht öffnen oder, wenn sie mit der Erweiterung .RAR umbenannt wurde, nur das zweite ZIP-Archiv anzeigen.
Je nachdem, welches Programm beim Entpacken zum Einsatz kommt, können die Cyberkriminellen nun ihren Angriff anpassen, indem sie die Malware im ersten oder zweiten ZIP-Archiv der Verkettung verstecken. Beim Ausprobieren des kompromittierten Archivs aus dem Angriff auf 7Zip stellten die Forscher von Perception Point beispielsweise fest, dass nur eine harmlose PDF-Datei angezeigt wurde. Beim Öffnen derselben Datei mit dem Windows Explorer wurde jedoch die Malware angezeigt.
Um sich vor der neuen Masche zu schützen empfehlen die Sicherheitsexperten, eine Sicherheitssoftware zu nutzen, die rekursives Entpacken unterstützt. Darüber hinaus sollten Nutzer mit E-Mail-Anhängen mit ZIP- oder ähnlichen Dateiendungen grundsätzlich vorsichtig umgehen. In kritischen Netzwerkumgebungen sollten Filter implementiert werden, die verdächtige Dateiendungen grundsätzlich blockieren.
