کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی روش جدیدی در بدافزار GootLoader خبر دادهاند که با استفاده از آرشیوهای ZIP معیوب، سامانههای شناسایی و تحلیل خودکار را دور میزند.
به گزارش کمیته رکن چهارم، بدافزار GootLoader که یک لودر مبتنی بر JavaScript است، اخیراً با روشی تازه مشاهده شده که در آن از فایلهای ZIP معیوب برای فرار از شناسایی استفاده میشود. در این روش، مهاجمان با چسباندن صدها فایل ZIP به یکدیگر و دستکاری ساختار آرشیو، فایلهایی ایجاد میکنند که بسیاری از ابزارهای تحلیل و استخراج مانند ۷-Zip و WinRAR قادر به پردازش آنها نیستند.
بر اساس گزارش شرکت Expel، این آرشیوهای مخرب اگرچه برای ابزارهای امنیتی مشکلساز هستند، اما توسط ابزار پیشفرض استخراج فایل در ویندوز باز میشوند؛ موضوعی که امکان اجرای فایل جاوااسکریپتی مخرب را برای قربانی فراهم میکند.
GootLoader عمدتاً از طریق مسمومسازی نتایج موتورهای جستوجو و تبلیغات مخرب توزیع میشود و کاربران را با وعده دانلود اسناد یا قالبهای حقوقی به وبسایتهای آلوده وردپرسی هدایت میکند. این بدافزار پس از اجرا، با استفاده از ابزارهای بومی ویندوز مانند wscript.exe و PowerShell، ماندگاری ایجاد کرده و زمینه را برای اجرای بدافزارهای ثانویه از جمله باجافزار فراهم میسازد.
کارشناسان امنیتی هشدار میدهند که استفاده از فایلهای ZIP معیوب و نسخههای منحصربهفرد برای هر قربانی، شناسایی مبتنی بر هش را عملاً بیاثر کرده و نشاندهنده تکامل مستمر روشهای پنهانسازی مهاجمان است.
