ZIP-Dateien gehören bereits seit vielen Jahren zum Standard, wenn es darum geht, große oder viele Dateien auf einmal zu verschicken. Auch Dienste wie WeTransfer, mit denen sich Dateien verschicken lassen, die für eine normale E-Mail zu groß sind, greifen auf ZIP-Dateien zurück. Doch man sollte sich die komprimierten Dateien genau ansehen, bevor man sie entpackt, also aus dem ZIP-Archiv in normale Dateien umwandelt. Denn Cyberkriminelle nutzen die Technik derzeit, um unbemerkt Malware zu verbreiten, wie Sicherheitsexperten von Perception Point berichten.

Entdeckt wurde der neue Trend bei der Untersuchung eines Phishing-Angriffs, bei dem die Opfer mit einer gefälschten Versandmitteilung von WeTransfer in die Falle gelockt wurden. Im Anhang fand sich ein vermeintliches RAR-Archiv, also eine Datei eines alternativen Kompressionsverfahrens zu ZIP, das eine Malware enthielt.

Bei der aktuellen Kampagne erstellen die Kriminellen zwei oder mehr getrennte ZIP- oder RAR-Archive, wobei die Malware zwischen harmlosen Dateien in einem der Archive versteckt wird. Dann werden diese Archive zu einem einzigen ZIP-Archiv zusammengeführt, indem die Binärdaten einer Datei der anderen hinzugefügt werden. So entsteht eine Datei mit mehreren ZIP-Strukturen, jede mit ihrem eigenen zentralen Verzeichnis und Endmarkierungen.

Die nächste Phase des Angriffs nutzt Schwachstellen der Programme aus, die ZIP-Dateien entpacken. Die Sicherheitsforscher testeten die beliebten Programme 7zip, WinRAR und Windows File Explorer. Die Ergebnisse fielen durchaus unterschiedlich aus. 7zip liest nur das erste ZIP-Archiv aus, in dem sich die Malware normalerweise nicht befindet. Dann warnt das Programm vor zusätzlichen Dateien, was Nutzer jedoch häufig übersehen. WinRAR hingegen liest sowohl die über- als auch die untergeordneten ZIP-Archive aus. So werden alle Dateien, auch die Malware, sichtbar. Der Windows File Explorer kann die verkettete Datei möglicherweise gar nicht öffnen oder, wenn sie mit der Erweiterung .RAR umbenannt wurde, nur das zweite ZIP-Archiv anzeigen.

Je nachdem, welches Programm beim Entpacken zum Einsatz kommt, können die Cyberkriminellen nun ihren Angriff anpassen, indem sie die Malware im ersten oder zweiten ZIP-Archiv der Verkettung verstecken. Beim Ausprobieren des kompromittierten Archivs aus dem Angriff auf 7Zip stellten die Forscher von Perception Point beispielsweise fest, dass nur eine harmlose PDF-Datei angezeigt wurde. Beim Öffnen derselben Datei mit dem Windows Explorer wurde jedoch die Malware angezeigt.

Um sich vor der neuen Masche zu schützen empfehlen die Sicherheitsexperten, eine Sicherheitssoftware zu nutzen, die rekursives Entpacken unterstützt. Darüber hinaus sollten Nutzer mit E-Mail-Anhängen mit ZIP- oder ähnlichen Dateiendungen grundsätzlich vorsichtig umgehen. In kritischen Netzwerkumgebungen sollten Filter implementiert werden, die verdächtige Dateiendungen grundsätzlich blockieren.

Über die 8com GmbH & Co. KG

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel