Jika sebelumnya pelaku kejahatan siber menyembunyikan malware atau kode berbahaya dalam aplikasi atau di dalam gambar, kali ini mereka menyembunyikan malware dalam file ZIP.
Upaya peretas ini bertujuan untuk menargetkan komputer Windows melalui teknik penggabungan file ZIP untuk mengirimkan muatan berbahaya dalam arsip terkompresi tanpa terdeteksi.
Teknik ini memanfaatkan berbagai metode pengurai ZIP dan pengelola arsip dalam menangani file ZIP yang digabungkan.
Tren baru ini ditemukan yang menemukan arsip ZIP yang digabungkan menyembunyikan trojan saat menganalisis serangan phising yang memikat pengguna dengan pemberitahuan pengiriman palsu.
Para peneliti menemukan bahwa lampiran tersebut disamarkan sebagai arsip RAR dan malware memanfaatkan bahasa skrip AutoIt untuk mengotomatiskan tugas-tugas berbahaya.
Baca juga: Malware Disembunyikan dalam Gambar |
Menyembunyikan Malware dalam File ZIP Rusak
Tahap pertama serangan adalah persiapan, di mana pelaku ancaman membuat dua atau lebih arsip ZIP terpisah dan menyembunyikan muatan berbahaya di salah satunya, meninggalkan sisanya dengan konten yang tidak berbahaya.
Selanjutnya, file-file terpisah tersebut digabungkan menjadi satu dengan menambahkan data biner dari satu file ke file lainnya, menggabungkan kontennya menjadi satu arsip ZIP gabungan.
Meskipun hasil akhir muncul sebagai satu file, file tersebut berisi beberapa struktur ZIP, masing-masing dengan direktori pusat dan penanda akhir sendiri.
Baca juga: Mengenal Malware as a Service |
Mengeksploitasi Kelemahan Aplikasi Zip
Fase serangan berikutnya bergantung pada bagaimana parser ZIP menangani arsip yang digabungkan. Peneliti menguji 7zip, WinRAR, dan Windows File Explorer untuk hasil yang berbeda:
- 7zip hanya membaca arsip ZIP pertama (mungkin tidak berbahaya) dan menghasilkan peringatan tentang data tambahan, yang mungkin terlewatkan oleh pengguna
- WinRAR membaca dan menampilkan kedua struktur ZIP, mengungkap semua file, termasuk muatan berbahaya yang tersembunyi.
- Windows File Explorer mungkin gagal membuka file yang digabungkan atau jika diganti namanya dengan ekstensi .RAR, mungkin hanya menampilkan arsip ZIP kedua.
Baca juga: Malware Atomic Stealer Serang macOS |
Mencegah Serangan Malware dalam File ZIP
Bergantung pada perilaku aplikasi, pelaku ancaman dapat menyempurnakan serangan mereka, seperti menyembunyikan malware di arsip ZIP pertama atau kedua dari penggabungan.
Saat mencoba arsip berbahaya dari serangan terhadap 7Zip, peneliti melihat bahwa hanya file PDF yang tidak berbahaya yang ditampilkan.
Namun, saat membukanya dengan Windows Explorer, terungkap file yang dapat dieksekusi berbahaya tersebut.
Untuk melindungi dari file ZIP yang digabungkan, disarankan agar pengguna dan perusahaan menggunakan solusi keamanan yang mendukung pembongkaran rekursif.
Umumnya, email yang melampirkan ZIP atau jenis file arsip lainnya harus diperlakukan dengan kecurigaan dan filter harus diterapkan di lingkungan kritis untuk memblokir ekstensi file terkait.
Demikian informasi seputar dunia siber kali ini yang membahas tentang menyembunyikan malware dalam file ZIP, semoga dapat bermanfaat bagi pembaca.
Sumber berita: