Útočníci sa vždy snažili nájsť nové spôsoby ako infiltrovať počítač obete škodlivým vírusom, ktorý môže napáchať nemalé škody. Experti však teraz narazili na novú sofistikovanú hrozbu, ktorá sa nachádza v napohľad neškodnom ZIP archíve, no v skutočnosti skrýva škodlivý kód. Špeciálny ZIP súbor v sebe obsahuje vírus NanoCore RAT, ktorý je známy už od roku 2013, snaží sa obísť emailové brány a infikovať zariadenie obete, informuje Bleeping Computer.

Sleduj Fontech aj na sociálnych sieťach!
FacebookInstagramYouTube

NanoCore RAT (Remote Trojan Access) sa poprvýkrát objavil pred 6 rokmi, no nedávno sa dokonca objavili informácie, že na dark webe je dostupný úplne zdarma v novej verzii, ktorá má byť ešte škodlivejšia.

Zatiaľ čo predtým si podľa webu Cisomag mohli záujemcovia kúpiť staršiu verziu za zhruba 25 dolárov, nová je úplne zadarmo a môže predstavovať obrovskú hrozbu. Podľa niektorých expertov má tento vírus slúžiť aj ako katalyzátor pri kybernetických útokoch.

Sofistikovaný archív dokázal oklamať emailové brány

Teraz sa však NanoCore objavil aj v špeciálnom ZIP archíve, ktorý sa snaží obísť emailové skenery chrániace používateľa pred potencionálne nebezpečným obsahom. Každý bežný ZIP archív sa pritom skladá z niekoľkých štruktúr, ktoré obsahujú informácie o komprimovaných dátach a informácie o „zabalených“ súboroch. Balík taktiež obsahuje jeden záznam o konci štruktúry archívu, tzv. EOCD (End of Central Directory) záznam.

Výskumníci z Trustwave však teraz odhalili súbor s názvom SHIPPING_MX00034900_PL_INV_pdf.zip, ktorý vyzeral podozrivo najmä kvôli tomu, že jeho veľkosť bola väčšia ako veľkosť nekomprimovaného obsahu. Zvyčajne je to práve naopak a komprimovaný súbor ZIP by mal mať menšiu veľkosť ako v ňom zabalený obsah. Pri rozbore tohto archívu však experti objavili 2 štruktúry a každá z nich mala vlastný EOCD záznam, hoci by mal archív obsahovať iba jeden takýto záznam.

Nenechaj si ujsť
Toto sú najhoršie PC vírusy histórie

To naznačovalo, že archív bol vytvorený tak, aby obsahoval 2 ďalšie archívy. Jeden z archívov obsahoval súbor order.jpg a v druhom sa už nachádzal škodlivý súbor SHIPPING_MX00034900_PL_INV_pdf.exe s vírusom NanoCore RAT. Týmto spôsobom mohli útočníci oklamať emailové brány, ktoré nemuseli vidieť škodlivý súbor a miesto neho zaznamenali iba obrázok. Vďaka tejto „nepozornosti“ sa súbor mohol dostať až do počítača používateľa, nad ktorým by mohol získať úplnú kontrolu.

Archivačné programy môžu útočníkom sťažiť šírenie vírusu

Pri skúmaní tohto archívu bolo použitých aj niekoľko programov na extrahovanie týchto súborov. Klasický program Windowsu na komprimáciu a extrahovanie obsahu tento ZIP archív označil za poškodený a nerozbalil ho. Ďalší program 7-Zip 9.20 dokázal archív rozbaliť, no upozornil na potencionálne škodlivý obsah. Vo výsledku sa však extrahoval iba neškodný obrázok. Taký WinRAR však nemal s rozbalením archívu žiaden problém a dokonca neupozornil ani na možné riziko.

Hoci by tak útočníci dokázali dostať takýto archív s NanoCore RAT vírusom cez emailové brány, niektoré programy by súbor nemuseli rozbaliť. Takáto situácia bola hneď v niekoľkých prípadoch a výskumníci poukázali na to, že rozbalenie archívu bez povšimnutia škodlivého obsahu môže nastať najmä v starších verziách archivačných programov. To môže útočníkom sťažiť šírenie vírusu do počítačov obetí.