Hackers usam Zombie ZIP para esconder malware em arquivos compactados
Por Jaqueline Sousa • Editado por Jones Oliveira |
Cuidado com os arquivos compactados que você instala: uma nova técnica criminosa apelidada "Zombie ZIP" esconde malwares em arquivos ZIP para burlar sistemas de segurança, evitando uma detecção por antivírus.
- Tem risco abrir arquivos ZIP, RAR ou APK no WhatsApp? Descubra
- Site falso do 7-Zip imita o original e instala malware no PC
Isso é possível porque há uma manipulação de cabeçalhos ZIP para contornar mecanismos de análise, o que faz com que os dados compactados sejam tratados como descompactados.
Dessa forma, ferramentas de segurança confiam no cabeçalho comprometido como se ele fosse legítimo, abrindo espaço para que o malware inicie uma operação criminosa sem que a vítima tenha conhecimento.
Camuflagem fraudulenta
Criada por Chris Aziz, especialista de segurança Bombadil Systems, a técnica do Zombie ZIP consegue enganar 50 dos 51 mecanismos de varredura encontrados no VirusTotal, uma plataforma que agrega fornecedores de antivírus e outros recursos de segurança.
Na prática, o que acontece é que um hacker pode criar um loader que trata o arquivo compactado como se ele fosse um dado comprimido com o algoritmo padrão usado em arquivos ZIP atuais.
O grande problema aqui é que, mesmo com cabeçalhos comprometidos, ferramentas populares de extração, como o WinRAR, 7-Zip e unzip, conseguem descompactar o arquivo ZIP sem qualquer tipo de problema.
Não foi divulgado qual seria o modus operandi dos criminosos para propagar os arquivos ZIP corrompidos, mas a recomendação é que fornecedores de ferramentas de segurança incrementem seus sistemas de inspeção para melhorar a detecção de malware.
Fonte: Bleeping Computer