Un ricercatore israeliano, Danor "An7i" Cohen, ha scoperto una vulnerabilità che colpisce le estensioni dei file contenuti in un archivio Rar. Chi è a conoscenza di questa falla, è in grado di sostituire le estensioni dei file contenuti all'interno di un archivio, facendole apparire diverse da quelle che in realtà sono. Ad esempio un file .exe che contiene malware, si può far visualizzare come .png o altre estensioni apparentemente innocue.
Il ricercatore è partito alla ricerca delle falla notando, tramite un editor HEX, che WinRar va ad aggiungere alcune proprietà custom agli archivi tipo .Zip, associando due nomi al file compresso; il primo nome è quello del file originale, contenuto nell'archivio, mentre il secondo (normalmente identico al primo) è quello che viene visualizzato alla interfaccia grafica di Windows.
Sorpresa! Apri quella che sembra una png e installi un virus!
Questo secondo nome del file è facilmente manipolabile e, infatti, Donor ha confezionato un file ZIP contenente un malware, che ha chiamato "FAX.exe" ma che veniva visualizzato da Windows come "FAX.png". Questa è una falla 0-day, che è stata riportata anche dalla compagnia IntelCrawler, dove viene comprovato che vari cybercriminali l'hanno già attivamente usata per colpire compagnie aerospaziali, militari, ambasciate e molte altre.
Il metodo è molto semplice, chiunque rischierebbe di cadere in un tranello simile confondendo un eseguibile per un immagine o un altro tipo di file altrimenti considerato innocuo; IntelCrawler dichiara infatti che "usando questo metodo, i malintenzionati possono facilmente bypassare misure di sicurezza quali i sistemi di scansione delle e-mail tipiche dei sistemi antivirus".
Danor, ha sperimentato che la falla funziona a partire dalla v4.20 di Winrar fino alla recente 5.1. Un altro ricercatore indiano, Ajin Abraham, ha anche postato un video (visibile qui) su come sia possibile creare un file con questa tecnica.
IntelCrawler ha anche aggiunto che "una delle tattiche preferite è quella di includere file malevoli camuffati da Curriculum Vitae o documenti per ufficio, inclusi messaggi fax digitalizzati". Come è prevedibile, la tecnica preferita dai cyber criminali è quella dello spear phishing, inducendo la vittima ad aprire l'archivio infetto, facendo arrivare il messaggio mimandone l'invio da parte di un collega o simili. IntelCrawler dichiara che "spesso i file malevoli sono nascosti in file di tipo grafico, ma l'archivio è protetto da password, in modo tale da evitare completamente la scansione da parte degli antivirus".
Ecco un semplice esempio, la mail contiene per l'appunto un file compresso e protetto da password con un malware; la mail di phishing nel testo riporta la password per aprirlo.
Semplice e diretta, con firma e indirizzo mail copiato da colleghi o amici.
I ricercatori hanno trovato, nell'esempio qui sopra, un malware simile allo Zeus-Trojan, in grado di creare connessioni remote con capacità di amministratore dal computer infettato, oltre a raccogliere password, informazioni di sistema e di inviare il tutto ad un server di controllo in Turchia. Il nostro consiglio è quello, come al solito, di diffidare di e-mail dal contenuto insolito, evitando in particolar modo di aprire file compressi protetti da password.