Hackers utilizam concatenação de arquivos ZIP para evitar detecção em ataques

Essa abordagem foi observada durante a análise de um ataque de phishing que atraía usuários com um falso aviso de envio. Pesquisadores encontraram um anexo disfarçado como arquivo RAR, no qual o malware utilizava a linguagem de script AutoIt para automatizar ações maliciosas.

Na fase inicial, os agentes da ameaça criam múltiplos arquivos ZIP, escondendo a carga maliciosa em apenas um deles e deixando os demais com conteúdo inofensivo. Em seguida, os arquivos são concatenados em um único arquivo, combinando seus dados binários em um só. Embora pareça um único arquivo ZIP, ele contém várias estruturas ZIP internas, cada uma com seu próprio diretório central e marcador de fim.

A fase subsequente do ataque explora como diferentes analisadores de ZIP lidam com arquivos concatenados. O 7zip, por exemplo, lê apenas o primeiro arquivo ZIP, que geralmente é inofensivo, e exibe um aviso sobre dados adicionais, o qual pode ser ignorado pelo usuário. O WinRAR, por outro lado, exibe ambas as estruturas ZIP, revelando todos os arquivos, inclusive a carga maliciosa oculta. Já o Explorador de Arquivos do Windows pode falhar ao abrir o arquivo concatenado ou, caso o arquivo seja renomeado com a extensão “.RAR”, exibir apenas o segundo arquivo ZIP.

Esse método permite que os atacantes ajustem o ataque conforme o comportamento do aplicativo utilizado pela vítima, escondendo o malware no primeiro ou no segundo arquivo ZIP da concatenação. Para se proteger, recomenda-se usar soluções de segurança que ofereçam suporte à descompactação recursiva.