Startseite Themen Brennpunkt INNOVATIONSPREIS-IT IT-Bestenliste INDUSTRIEPREIS INDUSTRIE-Bestenliste TrafficGenerator
INNOVATIONSPREIS-IT 2017

Drucken
Mittelstandspresse

13.11.2024

Vorsicht vor ZIP-Dateien: Hacker verstecken Malware in komprimierten Ordnern

Hacker haben es auf Windows-Rechner abgesehen und nutzen die ZIP-Dateiverkettung aus, um Malware in komprimierten Archiven zu übermitteln, ohne dass Sicherheitssoftware sie erkennt.

Neustadt an der Weinstraße, 13.11.2024 (PresseBox) - ZIP-Dateien gehören bereits seit vielen Jahren zum Standard, wenn es darum geht, große oder viele Dateien auf einmal zu verschicken. Auch Dienste wie WeTransfer, mit denen sich Dateien verschicken lassen, die für eine normale E-Mail zu groß sind, greifen auf ZIP-Dateien zurück. Doch man sollte sich die komprimierten Dateien genau ansehen, bevor man sie entpackt, also aus dem ZIP-Archiv in normale Dateien umwandelt. Denn Cyberkriminelle nutzen die Technik derzeit, um unbemerkt Malware zu verbreiten, wie Sicherheitsexperten von Perception Point berichten.

Entdeckt wurde der neue Trend bei der Untersuchung eines Phishing-Angriffs, bei dem die Opfer mit einer gefälschten Versandmitteilung von WeTransfer in die Falle gelockt wurden. Im Anhang fand sich ein vermeintliches RAR-Archiv, also eine Datei eines alternativen Kompressionsverfahrens zu ZIP, das eine Malware enthielt.

Bei der aktuellen Kampagne erstellen die Kriminellen zwei oder mehr getrennte ZIP- oder RAR-Archive, wobei die Malware zwischen harmlosen Dateien in einem der Archive versteckt wird. Dann werden diese Archive zu einem einzigen ZIP-Archiv zusammengeführt, indem die Binärdaten einer Datei der anderen hinzugefügt werden. So entsteht eine Datei mit mehreren ZIP-Strukturen, jede mit ihrem eigenen zentralen Verzeichnis und Endmarkierungen.

Die nächste Phase des Angriffs nutzt Schwachstellen der Programme aus, die ZIP-Dateien entpacken. Die Sicherheitsforscher testeten die beliebten Programme 7zip, WinRAR und Windows File Explorer. Die Ergebnisse fielen durchaus unterschiedlich aus. 7zip liest nur das erste ZIP-Archiv aus, in dem sich die Malware normalerweise nicht befindet. Dann warnt das Programm vor zusätzlichen Dateien, was Nutzer jedoch häufig übersehen. WinRAR hingegen liest sowohl die über- als auch die untergeordneten ZIP-Archive aus. So werden alle Dateien, auch die Malware, sichtbar. Der Windows File Explorer kann die verkettete Datei möglicherweise gar nicht öffnen oder, wenn sie mit der Erweiterung .RAR umbenannt wurde, nur das zweite ZIP-Archiv anzeigen.

Je nachdem, welches Programm beim Entpacken zum Einsatz kommt, können die Cyberkriminellen nun ihren Angriff anpassen, indem sie die Malware im ersten oder zweiten ZIP-Archiv der Verkettung verstecken. Beim Ausprobieren des kompromittierten Archivs aus dem Angriff auf 7Zip stellten die Forscher von Perception Point beispielsweise fest, dass nur eine harmlose PDF-Datei angezeigt wurde. Beim Öffnen derselben Datei mit dem Windows Explorer wurde jedoch die Malware angezeigt.

Um sich vor der neuen Masche zu schützen empfehlen die Sicherheitsexperten, eine Sicherheitssoftware zu nutzen, die rekursives Entpacken unterstützt. Darüber hinaus sollten Nutzer mit E-Mail-Anhängen mit ZIP- oder ähnlichen Dateiendungen grundsätzlich vorsichtig umgehen. In kritischen Netzwerkumgebungen sollten Filter implementiert werden, die verdächtige Dateiendungen grundsätzlich blockieren.

Ansprechpartner

Felicitas Kraus
+49 (30) 30308089-14
Zuständigkeitsbereich: Pressereferentin

Julia Olmscheid
+49 6321 484460
Zuständigkeitsbereich: Head of Communications

Über 8com GmbH & Co. KG:

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.