No passado, os arquivos compactados e de extração automática geralmente continham malware. Um novo golpe mostra: os arquivos de extração automática não contêm nenhum malware, mas executam comandos quando abertos no Windows, que o malware pode capturar - de acordo com a Crowdstrike.
Muitos funcionários em empresas contam com um compactador como ZIP, 7zip ou WinRAR para que arquivos grandes possam ser transportados mais rapidamente por e-mail. Arquivos de extração automática também são populares no mundo dos negócios. Os arquivos são um arquivo EXE e podem ser descompactados com um clique. Por exemplo, mesmo que o Outlook bloqueie anexos de e-mail com um arquivo EXE, ele ainda permite que um arquivo ZIP seja conectado a um arquivo EXE. Bons scanners também detectaram o malware em arquivos compactados em dobro. Como resultado, os invasores agora estão encontrando novas maneiras de prender funcionários desavisados.
Emotet usa arquivos criptografados
No Emotet, um arquivo contendo arquivos chamariz inofensivos e outro arquivo criptografado foi enviado aos usuários. A verificação revelou apenas arquivos inofensivos, pois a parte criptografada geralmente não pode ser examinada. Parâmetros e comandos ocultos no arquivo não são visíveis. Se o arquivo de extração automática estiver descompactado, a ferramenta gravará os arquivos compactados e iniciará o segundo arquivo criptografado. A senha é então passada para este arquivo por meio de parâmetros, e o arquivo Emotet é descompactado e executado.
Arquivos com cadeia de comando
Se um arquivo de extração automática – abreviado SFX – for executado com um clique, o conteúdo será extraído. Se, por exemplo, um malware for gravado no sistema, uma solução de segurança de endpoint geralmente o protege de forma confiável. Mas: não há malware nos arquivos encontrados pelo Crowdstrike. Em vez disso, os arquivos SFX executam uma cadeia de comandos que você pode fornecer regularmente. Em um caso registrado, uma chave de registro foi passada para o Windows por meio de um parâmetro. Isso significava que era possível executar comandos com direitos mais altos do que os de uma conta de administrador padrão.
Crowdstrike registrou como essas armadilhas funcionam na prática em uma postagem de blog e explica as armadilhas individuais dos exemplos encontrados na natureza.
Mais em Crowdstrike.com
Sobre o CrowdStrike A CrowdStrike Inc., líder global em segurança cibernética, está redefinindo a segurança na era da nuvem com sua plataforma reprojetada para proteger cargas de trabalho e endpoints. A arquitetura enxuta e de agente único da plataforma CrowdStrike Falcon® aproveita a inteligência artificial em escala de nuvem para proteção e visibilidade em toda a empresa. Isso evita ataques a dispositivos finais dentro e fora da rede. Usando o CrowdStrike Threat Graph® proprietário, o CrowdStrike Falcon correlaciona aproximadamente 1 trilhão de eventos relacionados a endpoints em todo o mundo diariamente e em tempo real. Isso torna a plataforma CrowdStrike Falcon uma das plataformas de dados de cibersegurança mais avançadas do mundo.