Il mondo della sicurezza informatica è in continua evoluzione, e i cybercriminali non smettono mai di trovare nuove strade per infiltrarsi nei nostri sistemi.
Una delle tecniche più recenti, scoperta dagli esperti di Perception Point, riguarda l’uso di archivi ZIP concatenati. Questa tecnica ingannevole permette agli hacker di evitare la rilevazione dei malware, distribuendo trojan e altri software dannosi direttamente nei computer delle vittime, senza che queste se ne accorgano immediatamente.
Archivi ZIP concatenati: come funzionano?
La concatenazione degli archivi ZIP è un metodo sofisticato che consente di combinare più file ZIP in un singolo archivio. Questo viene realizzato attraverso un semplice comando, come cat pt1.zip pt2.zip > combined.zip, che crea un file unificato. La chiave di questa tecnica sta nel modo in cui diversi software leggono l’archivio concatenato. Ad esempio, 7zip, un programma molto popolare e open source, mostra solo il contenuto del primo archivio (pt1.zip). Al contrario, WinRAR visualizza il contenuto del secondo archivio (pt2.zip), mentre Esplora file di Windows non riesce ad aprire l’archivio concatenato, generando un messaggio di errore. Tuttavia, cambiando l’estensione del file a RAR, il secondo archivio può essere visualizzato.
Questa vulnerabilità è stata scoperta durante l’analisi di un attacco in cui le vittime ricevevano email di phishing con allegati apparentemente innocui. Questi allegati, con estensione RAR, erano in realtà archivi ZIP concatenati contenenti sia un documento PDF innocuo sia un eseguibile malware. 7zip, mostrando solo il PDF, non allertava l’utente della presenza del malware. Al contrario, WinRAR e altri strumenti di visualizzazione avrebbero rivelato l’eseguibile dannoso.
Il malware nascosto sfrutta il linguaggio di scripting AutoIt, una tecnica comune per eseguire una serie di operazioni dannose. Tra queste, vi è il download di ulteriori payload, come trojan bancari e ransomware, che possono compromettere gravemente la sicurezza e la privacy dell’utente. Dopo la scoperta del problema, gli sviluppatori di 7zip hanno dichiarato che questa non è una falla nel programma, ma piuttosto una funzionalità. Tuttavia, il fatto che 7zip non rilevi correttamente i contenuti degli archivi concatenati sottolinea la necessità di prestare maggiore attenzione agli allegati ricevuti via email.
In risposta a queste minacce crescenti, gli esperti raccomandano di utilizzare soluzioni di sicurezza avanzate che includano la funzionalità di “recursive unpacking”. Questo tipo di software è in grado di analizzare gli archivi in profondità, estraendo e verificando il contenuto di ogni singolo file all’interno dell’archivio concatenato. Inoltre, è fondamentale educare gli utenti sui pericoli delle email di phishing e sugli allegati sospetti. Le email non richieste, soprattutto quelle che contengono allegati o link, devono essere trattate con estrema cautela.
In un contesto in cui la sicurezza informatica diventa sempre più complessa, è indispensabile adottare un approccio proattivo. Le aziende e gli individui devono rimanere aggiornati sulle nuove tecniche di attacco e sulle misure di difesa disponibili. Solo così si può sperare di rimanere un passo avanti ai cybercriminali, proteggendo le proprie informazioni sensibili e i propri dispositivi da attacchi sempre più sofisticati.