Hacker nascondono malware in file ZIP multipli, ecco come riconoscerli

Malware si nasconde più a fondo nei file ZIP delle email di phishing, aumentando il rischio di infezioni e attacchi informatici mirati.

Avatar di Giulia Serena

a cura di Giulia Serena

Editor

Un nuovo metodo di attacco informatico sfrutta i file ZIP concatenati per nascondere malware e aggirare i software antivirus. La tecnica, scoperta da ricercatori di sicurezza, combina più archivi ZIP inserendo il codice malevolo in uno di quelli interni, rendendo più difficile il rilevamento.

La peculiarità di questo attacco risiede nel diverso comportamento dei principali programmi di compressione file - 7zip, WinRAR e Windows File Explorer - nell'aprire archivi concatenati. Ciò influenza direttamente la capacità di individuare il malware nascosto.

Gli archivi ZIP concatenati contengono più directory centrali, anziché una sola come nei file ZIP standard. I vari software di compressione gestiscono queste directory in modi differenti:

  • 7zip mostra solo la prima directory
  • WinRAR visualizza la seconda
  • Windows File Explorer non apre affatto i file ZIP concatenati (ma apre la seconda directory se rinominati in .RAR)

Foto di B_A da Pixabay
hacker silhouette hack hackerare - Image

Inserendo il malware nella seconda directory, gli utenti che utilizzano 7zip non lo vedranno, mentre sarà visibile con WinRAR o File Explorer. Ciò permette agli attaccanti di prendere di mira utenti meno esperti, più propensi a usare questi ultimi programmi.

Questa tecnica rappresenta una seria minaccia, in quanto permette di distribuire malware come ransomware e trojan bancari eludendo i controlli di sicurezza. Gli esperti sottolineano che, nonostante l'importanza del software antivirus, la prima linea di difesa rimane la capacità dell'utente di identificare file sospetti.

Non è la prima volta che le caratteristiche dei software di compressione vengono sfruttate per attacchi malevoli: un precedente esempio è il "Zip Bomb", un archivio di soli 46 MB che una volta decompresso generava 4,5 petabyte di dati, potenzialmente mandando in crash il sistema.

Il consiglio è, quindi, di prestare massima attenzione nell'aprire allegati di email sospette e di mantenere sempre aggiornati i software di sicurezza per contrastare queste nuove minacce in continua evoluzione (qui trovate i nostri suggerimenti per i migliori antivirus sul mercato).

È interessante notare come la compressione dei file, nata per ottimizzare lo spazio di archiviazione, sia diventata uno strumento nelle mani dei cybercriminali: il formato ZIP, sviluppato nel 1989 da Phil Katz, non fu inizialmente concepito per scopi malevoli, ma la sua flessibilità ha permesso usi imprevisti.

Leggi altri articoli