Исследователи по кибербезопасности рассказали о новой тактике злоумышленников, распространяющих вредоносное ПО семейства Gootloader.
В последней кампании атакаторы стали использовать специально искажённые структуры ZIP-архивов, что позволяет обходить многие средства защиты и усложняет автоматический анализ файлов.
Специалисты обнаружили, что злоумышленники создают ZIP-файлы, содержащие до нескольких сотен вложенных архивов с нарушенными заголовками и структурами. Большинство инструментов для анализа не могут корректно открыть такие архивы, тогда как встроенный системный архиватор способен распаковать файл и запустить скрытый вредоносный скрипт, который служит начальным этапом заражения.
После распаковки на устройство жертвы попадает JScript-скрипт, который загружает и запускает другие компоненты зловреда. Gootloader традиционно используется как средство начального доступа, а в дальнейшем может загружать дополнительные модули или передавать управление другим вредоносным инструментам.
Аналитики отмечают, что применение искажённых архивов снижает эффективность привычных сигнатурных механизмов обнаружения и автоматических песочниц. Это делает кампании с Gootloader более устойчивыми к стандартным средствам защиты и требует от организаций пересмотра подходов к анализу вложений и обработке ZIP-файлов.
Эксперты рекомендуют компаниям усиливать контроль исходящих и входящих архивов, внедрять эвристические методы обнаружения нестандартных структур и усилить обучение сотрудников безопасной работе с вложениями, чтобы минимизировать риски подобных атак.
Источник
В последней кампании атакаторы стали использовать специально искажённые структуры ZIP-архивов, что позволяет обходить многие средства защиты и усложняет автоматический анализ файлов.
Специалисты обнаружили, что злоумышленники создают ZIP-файлы, содержащие до нескольких сотен вложенных архивов с нарушенными заголовками и структурами. Большинство инструментов для анализа не могут корректно открыть такие архивы, тогда как встроенный системный архиватор способен распаковать файл и запустить скрытый вредоносный скрипт, который служит начальным этапом заражения.
После распаковки на устройство жертвы попадает JScript-скрипт, который загружает и запускает другие компоненты зловреда. Gootloader традиционно используется как средство начального доступа, а в дальнейшем может загружать дополнительные модули или передавать управление другим вредоносным инструментам.
Аналитики отмечают, что применение искажённых архивов снижает эффективность привычных сигнатурных механизмов обнаружения и автоматических песочниц. Это делает кампании с Gootloader более устойчивыми к стандартным средствам защиты и требует от организаций пересмотра подходов к анализу вложений и обработке ZIP-файлов.
Эксперты рекомендуют компаниям усиливать контроль исходящих и входящих архивов, внедрять эвристические методы обнаружения нестандартных структур и усилить обучение сотрудников безопасной работе с вложениями, чтобы минимизировать риски подобных атак.
Источник
