این نوع فایل ها آنهایی هستند که بیشتر توسط هکرها برای مخفی کردن بدافزار خود استفاده می شود

قبل از این آخرین کمپین Magniber، باج‌افزار از طریق فایل‌های MSI و EXE منتشر می‌شد – اما مانند سایر گروه‌های مجرم سایبری، آنها متوجه موفقیتی شده‌اند که می‌توان با تحویل بارهای مخفی در فایل‌های آرشیو به دست آورد.

الکس هالند، تحلیلگر ارشد بدافزار در HP می گوید: “رمزگذاری آرشیوها آسان است و به عوامل تهدید کمک می کند تا بدافزارها را پنهان کنند و از پروکسی های وب، جعبه های ایمنی یا اسکنرهای ایمیل فرار کنند. این امر شناسایی حملات را دشوار می کند، به ویژه هنگامی که با تکنیک های قاچاق HTML ترکیب شود.” تیم تحقیقاتی تهدید امنیتی Wolf.

تحقیق، بر اساس داده های مشتری توسط HP Wolf Securityدر بازه زمانی بین جولای و سپتامبر سال جاری، 42 درصد از تلاش‌ها برای ارسال حملات بدافزار از فرمت‌های فایل آرشیو، از جمله ZIP و RAR استفاده کردند.

همچنین: باج افزار: چرا هنوز یک تهدید بزرگ است، و باندها به کجا می روند؟

در بسیاری از موارد، مهاجمان ایمیل‌های فیشینگ می‌سازند که به نظر می‌رسد از برندهای شناخته‌شده و ارائه‌دهندگان خدمات آنلاین هستند، که سعی می‌کنند کاربر را فریب دهند تا فایل ZIP یا RAR مخرب را باز کند و اجرا کند.

به گفته محققان، این اولین بار در بیش از سه سال است که فایل های آرشیو از فایل های مایکروسافت آفیس به عنوان رایج ترین ابزار ارسال بدافزار پیشی گرفته اند.

با رمزگذاری بارهای مخرب و پنهان کردن آنها در فایل های بایگانی، راه دور زدن بسیاری از حفاظت های امنیتی را در اختیار مهاجمان قرار می دهد.

همچنین: امنیت سایبری: اینها چیزهای جدیدی است که در سال 2023 باید نگران آنها بود

این بدان معناست که حملات سایبری برای سوء استفاده از فرمت‌های ZIP و RAR رایج‌تر از حملاتی هستند که با استفاده از اسناد مایکروسافت آفیس مانند مایکروسافت ورد و فایل‌های مایکروسافت اکسل، که مدت‌ها روش ترجیحی برای اغوا کردن قربانیان به دانلود بدافزار هستند، بدافزار ارائه می‌کنند.

بر اساس تجزیه و تحلیل HP Wolf Security، یکی از بدنام ترین کمپین های بدافزار که اکنون به آرشیوهای ZIP و فایل های مخرب HTML متکی است Qakbot است – یک خانواده بدافزار که نه تنها برای سرقت داده ها استفاده می شود، بلکه به عنوان یک درب پشتی برای استقرار باج افزار نیز استفاده می شود.

Qakbot در ماه سپتامبر با پیام‌های مخربی که از طریق ایمیل ارسال می‌شد، دوباره ظاهر شد و ادعا می‌کرد که مربوط به اسناد آنلاینی است که باید باز شوند. اگر بایگانی اجرا می شد، از دستورات مخرب برای دانلود و اجرای payload در قالب یک کتابخانه پیوند پویا استفاده می کرد، سپس با استفاده از ابزارهای قانونی – اما معمولاً مورد سوء استفاده – در ویندوز راه اندازی شد.

همچنین دیده شده است که یک گروه باج افزار از فایل های ZIP و RAR به این شکل سوء استفاده می کند. به گفته HP Wolf Security، کمپینی که توسط گروه باج‌افزار Magniber منتشر شده است، کاربران خانگی را هدف قرار داده است، با حملاتی که فایل‌ها را رمزگذاری می‌کنند و 2500 دلار از قربانیان طلب می‌کنند.

در این مورد، آلودگی با دانلود از یک وب‌سایت تحت کنترل مهاجم شروع می‌شود که از کاربران می‌خواهد یک آرشیو ZIP حاوی یک فایل جاوا اسکریپت را دانلود کنند که ادعا می‌شود یک آنتی ویروس مهم یا به‌روزرسانی نرم‌افزار ویندوز 10 است. در صورت اجرا و اجرا، باج افزار را دانلود و نصب می کند.