Firma ANY.RUN odkryła nowy sposób, w jaki cyberprzestępcy oszukują programy antywirusowe. Metoda wykorzystuje mechanizm automatycznej naprawy uszkodzonych plików Office i archiwów ZIP, co jest szczególnie niebezpieczne ze względu na powszechne wykorzystanie pakietu Office w firmach.
Jak działa atak:
- Przestępcy celowo uszkadzają plik pakietu Office (DOCX, XLSX, PPTX)
- Program antywirusowy nie może prawidłowo przeanalizować uszkodzonego pliku
- Gdy użytkownik otwiera dokument, Office automatycznie naprawia jego strukturę
- Złośliwe oprogramowanie uaktywnia się na komputerze ofiary
Pliki pakietu Office (w formacie Office Open XML) to w rzeczywistości archiwa ZIP zawierające pliki XML. Wbudowany w Office mechanizm naprawy próbuje przywrócić zawartość plików XML, odtworzyć ich strukturę i powiązania między plikami. Programy antywirusowe, które działają jak zaawansowane analizatory plików, nie potrafią prawidłowo sprawdzić celowo uszkodzonych archiwów.
Sprytne ;)
Źródło:
https://sekurak.pl/antywirusy-w-formie-czyli-jak-przestepcy-unikaja-detekcji/