Gli hacker usano la concatenazione di file ZIP a scopo di elusione della cyber minaccia.
I computer Windows sono nel mirino di attori delle minacce che sfruttano questa tecnica per distribuire payload malevoli negli archivi compressi, impedendone il rilevamento da parte delle soluzioni di sicurezza.
“La tecnica di concatenazione dei file ZIP è estremamente interessante”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “si tratta dell’ennesimo stratagemma che gli sviluppatori di malware hanno utilizzato per eludere i sistemi di difesa“.
Infatti “gli hacker stanno sfruttando una tecnica intelligente”, sottolinea Alessandro Sevà, Technical Sales di Tinexta Cyber, “nascondono malware nei file ZIP con concatenazioni che confondono i programmi di sicurezza, mostrando solo contenuti innocui a una prima scansione“. Ecco i dettagli dell’attacco e come proteggersi.
Indice degli argomenti
La tecnica della concatenazione di file ZIP per eludere il rilevamento
La tecnica sfrutta i diversi metodi con cui i parser ZIP e i gestori di archivi gestiscono i file ZIP concatenati.
Ad individuare la nuova tendenza è Perception Point, che ha rilevato un archivio ZIP concatenato che nascondeva un trojan durante l’analisi di un attacco.
I ricercatori hanno scoperto che l’allegato era mascherato da archivio RAR e il malware sfruttava il linguaggio di scripting AutoIt per automatizzare le attività malevole.
“È un esempio di come la sicurezza informatica debba adattarsi continuamente a nuove sfide“, conferma Alessandro Sevà.
I dettagli: la prima fase dell’attacco
La prima fase dell’attacco consiste nel realizzare due o più archivi ZIP separati per nascondere il payload malevolo in uno di essi, lasciando gli altri con un contenuto innocuo. Successivamente, gli attori delle minacce concatenano i file separati in uno solo aggiungendo i dati binari di un file all’altro, unendo i loro contenuti in un unico archivio ZIP combinato.
Infatti, “questo approccio sfrutta le diverse modalità con cui i software gestiscono ZIP concatenati. La tecnica di attacco”, continua Paganini, “sfrutta specifiche vulnerabilità proprio nei parser degli archivi compressi e trae vantaggio dal fatto che molti utenti possono ignorare eventuali avvisi di errore o non accorgersi della presenza di dati aggiuntivi“.
Sebbene il risultato finale appaia come un unico file, contiene più strutture ZIP, ognuna con la propria directory centrale e i propri marcatori finali.
“In buona sostanza, il codice malevolo è nascosto in archivi apparentemente difettosi e che sono trasparenti agli utenti proprio per le falle nei processi di analisi“, mette in guardia Paganini.
La seconda fase
La fase successiva dell’attacco si basa sul modo in cui i parser ZIP gestiscono gli archivi concatenati. Perception Point ha testato 7zip, WinRAR e Windows File Explorer con risultati diversi:
- 7zip legge solo il primo archivio ZIP (che potrebbe essere benigno) e può generare un avviso sui dati aggiuntivi, che gli utenti potrebbero non notare.
- WinRAR legge e visualizza entrambe le strutture ZIP, rivelando tutti i file, compreso il payload dannoso nascosto.
- Windows File Explorer potrebbe non riuscire ad aprire il file concatenato o, se rinominato con estensione .RAR, potrebbe visualizzare solo il secondo archivio ZIP.
- A seconda del comportamento dell’applicazione, gli attori delle minacce possono perfezionare il loro attacco, ad esempio nascondendo il malware nel primo o nel secondo archivio ZIP della concatenazione.
Testando l’archivio dannoso dell’attacco su 7Zip, i ricercatori di Perception Point hanno visto che appariva solo un innocuo file PDF. Aprendolo con Windows Explorer, però, hanno rivelato l’eseguibile dannoso.
“Gli hacker sfruttano ora la concatenazione di file ZIP per eludere il rilevamento, incorporando più archivi ZIP in un singolo file in modo che solo il primo archivio, innocuo, venga tipicamente analizzato dagli strumenti di sicurezza”, spiega Cesare Schiavone, Senior Cyber Security Consultant di Tinexta Cyber: “Questa tattica, utilizzata nelle campagne di phishing, consente al malware di eludere le scansioni antivirus convenzionali”.
Come proteggersi dalla concatenazione file ZIP
Per difendersi dalla concatenazione dei file ZIP, Perception Point raccomanda agli utenti e alle organizzazioni di utilizzare soluzioni di sicurezza che supportino lo spacchettamento ricorsivo.
“Questo tipo di attacco ci ricorda l’importanza di una difesa approfondita e di controlli attenti sui file compressi, per restare sempre un passo avanti rispetto a queste astuzie”, mette in evidenza Alessandro Sevà.
In generale, le mail che allegano ZIP o altri tipi di file di archivio dovrebbero ricevere un “trattamento sospettoso” e gli ambienti critici dovrebbero implementare filtri per bloccare le relative estensioni di file.
“Per affrontare questo tipo di minacce”, infatti, secondo Paganini, “è essenziale adottare soluzioni di sicurezza avanzate che analizzino a fondo il contenuto degli archivi compressi“.
“Il caso analizzato evidenzia come gli attori malevoli continuino ad affinare le metodologie di attacco di pari passo all’evoluzione dei sistemi di sicurezza. Per far fronte a queste minacce è fondamentale disporre di sistemi di difesa sempre aggiornati e proattivi“, conclude Paganini.
Infatti “per contrastare questo fenomeno, le aziende dovrebbero implementare sistemi di rilevamento avanzati che analizzino ogni livello di file, addestrare i dipendenti a riconoscere i segnali di phishing e condurre regolarmente audit di sicurezza e simulazioni di phishing. Questa strategia di difesa multilivello può mitigare i rischi derivanti da metodi di elusione sempre più sofisticati”, conclude Schiavone.
