Teknik ini mengeksploitasi berbagai metode pengurai ZIP dan pengelola arsip menangani file ZIP yang digabungkan. Tren baru ini terlihat oleh Perception Point, yang menemukan arsip ZIP yang digabungkan yang menyembunyikan trojan saat menganalisis serangan phishing yang memikat pengguna dengan pemberitahuan pengiriman palsu.
Mengutip Bleeping Computer, para peneliti menemukan bahwa lampiran tersebut disamarkan sebagai arsip RAR dan malware memanfaatkan bahasa skrip AutoIt untuk mengotomatiskan tugas-tugas berbahaya.
Menyembunyikan malware di ZIP "rusak"
Tahap pertama dari serangan adalah persiapan. Pelaku ancaman membuat dua atau lebih arsip ZIP terpisah dan menyembunyikan muatan berbahaya di salah satunya, meninggalkan sisanya dengan konten yang tidak berbahaya.
Selanjutnya, file terpisah digabungkan menjadi satu dengan menambahkan data biner dari satu file ke file lainnya, menggabungkan isinya menjadi satu arsip ZIP gabungan. Meskipun hasil akhirnya muncul sebagai satu file, itu berisi beberapa struktur ZIP, masing-masing dengan direktori pusat dan penanda akhir sendiri.
Mengeksploitasi kelemahan aplikasi ZIP
Fase serangan berikutnya bergantung pada bagaimana pengurai ZIP menangani arsip yang digabungkan. Perception Point menguji 7zip, WinRAR, dan Windows File Explorer dengan hasil yang berbeda:
1. 7zip hanya membaca arsip ZIP pertama (yang mungkin jinak) dan dapat menghasilkan peringatan tentang data tambahan, yang mungkin terlewatkan oleh pengguna.
2. WinRAR membaca dan menampilkan kedua struktur ZIP, mengungkapkan semua file, termasuk muatan berbahaya yang tersembunyi.
3. Windows File Explorer mungkin gagal membuka file yang digabungkan atau, jika diganti namanya dengan ekstensi .RAR, mungkin hanya menampilkan arsip ZIP kedua.
Bergantung pada perilaku aplikasi, pelaku ancaman dapat menyempurnakan serangan mereka, seperti menyembunyikan malware di arsip ZIP pertama atau kedua dari penggabungan. Mencoba arsip berbahaya dari serangan terhadap 7Zip, para peneliti Perception Point melihat bahwa hanya file PDF yang tidak berbahaya yang ditampilkan. Membukanya dengan Windows Explorer, mengungkapkan executable berbahaya.
Untuk melindungi dari file ZIP yang digabungkan, Perception Point menyarankan agar pengguna dan organisasi menggunakan solusi keamanan yang mendukung pembongkaran rekursif. Umumnya, email yang melampirkan ZIP atau jenis file arsip lainnya harus diperlakukan dengan kecurigaan, dan filter harus diterapkan di lingkungan kritis untuk memblokir ekstensi file terkait.
Cek Berita dan Artikel yang lain di
Google News
