In passato, gli archivi compressi e autoestraenti spesso contenevano malware. Una nuova truffa mostra: gli archivi autoestraenti non contengono alcun malware, ma eseguono comandi quando vengono aperti in Windows, che il malware può quindi recuperare - secondo Crowdstrike.
Molti dipendenti nelle aziende si affidano a un packer come ZIP, 7zip o WinRAR in modo che i file di grandi dimensioni possano essere trasportati più rapidamente via e-mail. Gli archivi autoestraenti sono anche popolari nel mondo degli affari. Gli archivi sono un file EXE e possono essere decompressi con un clic. Ad esempio, anche se Outlook blocca gli allegati di posta con un file EXE, consente comunque di inserire un file ZIP in un file EXE. Buoni scanner hanno anche rilevato il malware negli archivi doppi. Di conseguenza, gli aggressori stanno ora trovando nuovi modi per intrappolare dipendenti ignari.
Emotet utilizza archivi crittografati
A Emotet, sono stati inviati agli utenti un archivio contenente file esca innocui e un altro archivio crittografato. La scansione ha rivelato solo file innocui poiché la parte crittografata spesso non può essere esaminata. I parametri ei comandi nascosti nell'archivio non sono visibili. Se l'archivio autoestraente è ora decompresso, lo strumento scrive i file compressi e avvia il secondo archivio crittografato. La password viene quindi passata a questo archivio tramite parametri e il file Emotet viene decompresso ed eseguito.
Archivi con catena di comando
Se un archivio autoestraente - SFX in breve - viene eseguito con un clic, il contenuto viene estratto. Se, ad esempio, il malware viene quindi scritto nel sistema, una soluzione di sicurezza degli endpoint di solito lo respinge in modo affidabile. Ma: non ci sono malware negli archivi trovati da Crowdstrike. Piuttosto, i file SFX eseguono una catena di comandi che puoi dare loro abbastanza regolarmente. In un caso registrato, una chiave di registro è stata passata a Windows tramite un parametro. Ciò significava quindi che era possibile eseguire comandi con diritti più elevati rispetto a quelli di un account amministratore standard.
Crowdstrike ha registrato come queste trappole funzionano in pratica in un post sul blog e spiega le singole trappole degli esemplari trovati in natura.
Altro su Crowdstrike.com
A proposito di CrowdStrike CrowdStrike Inc., leader globale della sicurezza informatica, sta ridefinendo la sicurezza nell'era del cloud con la sua piattaforma riprogettata per proteggere i carichi di lavoro e gli endpoint. L'architettura snella a singolo agente della piattaforma CrowdStrike Falcon® sfrutta l'intelligenza artificiale su scala cloud per protezione e visibilità a livello aziendale. Ciò impedisce attacchi ai dispositivi finali sia all'interno che all'esterno della rete. Utilizzando il CrowdStrike Threat Graph® proprietario, CrowdStrike Falcon mette in correlazione circa 1 trilione di eventi relativi agli endpoint in tutto il mondo ogni giorno e in tempo reale. Ciò rende la piattaforma CrowdStrike Falcon una delle piattaforme di dati di sicurezza informatica più avanzate al mondo.