Киберпреступники маскируют вредоносное ПО под ZIP-архивы
Киберпреступники используют метод объединения ZIP-архивов для обхода систем защиты. Они создают несколько архивов, один из которых содержит вредоносное ПО, а остальные — пустые или с безопасными файлами. Затем эти архивы объединяются в один, что позволяет скрыть вредоносное содержимое.
Разные программы обрабатывают такие архивы по-разному:
7zip показывает только содержимое первого архива, но многие пользователи игнорируют предупреждение о дополнительных данных.
WinRAR отображает файлы из последнего центрального каталога и позволяет увидеть скрытое вредоносное содержимое.
Проводник Windows может не открыть файл или показать только часть содержимого, или, если его переименовать в формат .RAR, покажет только второй архив.
В одном из инцидентов киберпреступники отправили троян, замаскированный под документы доставки. При открытии в 7zip файл выглядел как безобидный PDF, но при открытии в WinRAR или Проводнике Windows становились видны вредоносные файлы.
Для защиты рекомендуется использовать системы безопасности, которые умеют распаковывать вложенные архивы, и быть внимательными к письмам с вложениями.