Cyberbezpieczeństwo
Uszkodzony plik? To może być niewykrywalne malware
Autor. Shutterstock
Cyberprzestępcy znaleźli kolejny sposób na ominięcie zabezpieczeń skrzynek poczty elektronicznej oraz antywirusów. Wystarczy bowiem, aby plik będący „bronią” był uszkodzony. „Jest niewykrywalny przez narzędzia bezpieczeństwa, ale aplikacje go bez problemu naprawią dzięki swoim mechanizmom” – ostrzegają eksperci z Any.Run.
Walka między cyberprzestępcami a osobami i podmiotami odpowiedzialnymi za bezpieczeństwo w sieci trwa cały czas. Eksperci łatają znalezione luki i wzmacniają już funkcjonujące systemy, a hakerzy odnajdują nieznane do tej pory podatności i wykorzystują je do przeprowadzania ataków.
Na łamach CyberDefence24 pisaliśmy w ostatnim czasie o lukach, jakie zostały odkryte w Firefoxie i Windowsie. Rosyjscy hakerzy zdołali je wykorzystać w jednym ataku, osiągając tym samym zero-click exploit. Z kolei CERT Polska poinformował o wykryciu blisko 280 tys. podatności na polskich stronach internetowych od początku roku.
Czytaj też
Hakerzy znaleźli sposób na antywirusy?
Niemniej, niebezpieczną lukę od wspomnianego exploita odkryli pracownicy portalu analizującego zagrożenia, Any.Run. Jak opisano na profilu serwisu na portalu X (d. Twitter), wykorzystywane w ataku pliki nie są wykrywane przez antywirusy oraz zabezpieczenia skrzynek poczty elektronicznej. W tym drugim przypadku uniemożliwia to wysłanie maila do folderu spam.
🚨ALERT: Potential ZERO-DAY, Attackers Use Corrupted Files to Evade Detection 🧵 (1/3)
— ANY.RUN (@anyrun_app) November 25, 2024
⚠️ The ongoing attack evades #antivirus software, prevents uploads to sandboxes, and bypasses Outlook's spam filters, allowing the malicious emails to reach your inbox
The #ANYRUN team… pic.twitter.com/0asnG72Gm9
Jakim sposobem udało się coś takiego osiągnąć? Okazuje się, że pliki są celowo uszkadzane przez cyberprzestępców. Przy próbie ich analizy za pomocą typowego oprogramowania, wynikiem był komunikat informujący, że są one „czyste”. W rzeczywistości jednak, proces badania był przerywany, bądź nie rozpoczynał się w ogóle ze względu na uszkodzenie plików.
Czytaj też
Wykorzystują możliwość naprawy plików
Po otrzymaniu uszkodzonego pliku ZIP lub DOCX przez ofiarę, atak wygląda bardzo prosto. Przy próbie otwarcia elementu, program za to odpowiadający rozpozna problem i zaproponuje rozwiązanie w postaci naprawy. Pozytywna odpowiedź użytkownika spowoduje naprawienie pliku, ale też uruchomienie ukrytych w nim złośliwych skryptów. W przypadku dokumentu, może on zawierać kod QR do zeskanowania.
Jak zauważa portal Cybernews, atak jest wyjątkowy, ponieważ nie zadziała poza trybem odzyskiwania programów wykorzystujących konkretne rozszerzenia. Mowa tu o pakiecie Microsoft Office oraz WinRAR. Sama podatność ma być wykorzystywana już od kilku miesięcy – warto zatem uważać na wiadomości e-mail z często kontrowersyjnym tematem, które zawierają tylko załącznik.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
