Boîte de hacker

Les pirates ciblent les machines Windows en utilisant la technique de concaténation de fichiers ZIP pour diffuser des charges utiles malveillantes dans des archives compressées sans que les solutions de sécurité ne les détectent.

La technique exploite les différentes méthodes utilisées par les analyseurs ZIP et les gestionnaires d’archives pour gérer les fichiers ZIP concaténés.

Cette nouvelle tendance a été repérée par Point de perceptionqui a découvert une archive ZIP concaténée cachant un cheval de Troie en analysant une attaque de phishing qui attirait les utilisateurs avec un faux avis d’expédition.

Publicité

Les chercheurs ont découvert que la pièce jointe était déguisée en archive RAR et que le malware exploitait le langage de script AutoIt pour automatiser les tâches malveillantes.

E-mail de phishing cachant un cheval de Troie dans un fichier ZIP concaténé
E-mail de phishing cachant un cheval de Troie dans un fichier ZIP concaténé Source : Point de perception

Cacher les logiciels malveillants dans des ZIP « cassés »

La première étape de l’attaque est la préparation, où les auteurs de la menace créent deux ou plusieurs archives ZIP distinctes et cachent la charge utile malveillante dans l’une d’elles, laissant le reste avec un contenu inoffensif.

Ensuite, les fichiers séparés sont concaténés en un seul en ajoutant les données binaires d’un fichier à l’autre, fusionnant ainsi leur contenu dans une archive ZIP combinée.

Bien que le résultat final apparaisse sous la forme d’un seul fichier, il contient plusieurs structures ZIP, chacune avec son propre répertoire central et ses propres marqueurs de fin.

Structure interne des fichiers ZIP
Structure interne des fichiers ZIP Source : Point de perception

Exploiter les failles de l’application ZIP

La phase suivante de l’attaque repose sur la manière dont les analyseurs ZIP gèrent les archives concaténées. Perception Point a testé 7zip, WinRAR et l’Explorateur de fichiers Windows avec des résultats différents :

  • 7zip lit uniquement la première archive ZIP (qui pourrait être inoffensive) et peut générer un avertissement concernant des données supplémentaires, que les utilisateurs pourraient manquer
  • WinRAR lit et affiche les deux structures ZIP, révélant tous les fichiers, y compris la charge utile malveillante cachée.
  • Explorateur de fichiers Windows peut ne pas réussir à ouvrir le fichier concaténé ou, s’il est renommé avec une extension .RAR, peut afficher uniquement la deuxième archive ZIP.
  • En fonction du comportement de l’application, les acteurs malveillants peuvent affiner leur attaque, par exemple en cachant le malware dans la première ou la deuxième archive ZIP de la concaténation.

    En essayant l’archive malveillante de l’attaque sur 7Zip, les chercheurs de Perception Point ont constaté que seul un fichier PDF inoffensif était affiché. L’ouvrir avec l’Explorateur Windows a cependant révélé l’exécutable malveillant.

    7zip (en haut) et l'Explorateur de fichiers Windows (en bas) ouvrant le même fichier
    7zip (en haut) et l’Explorateur de fichiers Windows (en bas) ouvrant le même fichier Source : Point de perception

    Pour se défendre contre les fichiers ZIP concaténés, Perception Point suggère aux utilisateurs et aux organisations d’utiliser des solutions de sécurité prenant en charge le décompression récursive.

    En règle générale, les e-mails contenant des fichiers ZIP ou d’autres types de fichiers d’archive doivent être traités avec suspicion, et des filtres doivent être mis en œuvre dans les environnements critiques pour bloquer les extensions de fichiers associées.

5/5 - (355 votes)
Publicité
Article précédentMartin Casado, VC d’a16z, explique pourquoi tant de réglementations sur l’IA sont si erronées
Article suivantMario Kart 9 a besoin de ces fonctionnalités cruciales
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici