Attenzione alla falla zero-day di WinRAR: nasconde i file pericolosi.


In questi giorni Danor Cohen, un ricercatore israeliano conosciuto con il nickname "An7i", ha scoperto e reso nota una vulnerabilità che colpisce le estensioni dei file contenuti in un archivio RAR. In pratica attraverso questa falla i malintenzionati sono in grado di sostituire le estensioni dei file contenuti all'interno di un archivio, facendole apparire diverse da quelle che in realtà sono: ad esempio, un file con estensione .exe, (che potrebbe facilmente contenere malware), può essere spacciato come un file con estensione .png o altre apparentemente innocue. In sostanza il suddetto ricercatore ha iniziato la ricerca della falla in questione dopo che aveva notato, tramite un editor esedecimale, che il software WinRAR va ad aggiungere alcune proprietà cosiddette "custom" agli archivi tipo .zip, associando due nomi al file compresso: il primo è quello del file originale, contenuto nell'archivio; mentre il secondo, (normalmente identico al primo), è quello che viene visualizzato dall'interfaccia grafica dei sistemi operativi Windows. Inoltre questo secondo nome del file può essere facilmente manipolato; infatti lo stesso Danor Cohen, per dare dimostrazione della sua tesi, ha creato un file ZIP contenente un malware che ha chiamato "FAX.exe", il quale però veniva visualizzato da Windows, appunto, come "FAX.png". Tra l'altro questa stessa falla, (conosciuta in ambito informatico con la denominazione "0-day" o "zero-day"), è stata riportata anche dalla IntelCrawler, la quale ha comprovato che vari cybercriminali l'hanno già attivamente usata per colpire compagnie aerospaziali, militari, ambasciate e molte altre. Insomma, considerando che il metodo è abbastanza semplice, chiunque rischierebbe di cadere in un tranello simile confondendo un eseguibile per un immagine o un altro tipo di file altrimenti considerato innocuo; infatti al riguardo la stessa IntelCrawler ha fatto sapere: "Usando questo metodo i malintenzionati possono facilmente bypassare misure di sicurezza quali i sistemi di scansione delle e-mail tipiche dei sistemi antivirus". Ad ogni modo Danor Cohen ha scoperto che la falla in questione funziona a partire dalla versione 4.20 di WinRAR fino alla recente 5.1. Mentre Ajin Abraham, un ricercatore indiano, ha anche pubblicato un video che spiega come sia possibile creare un file con questa tecnica, (video visibile qui). Comunque sia la IntelCrawler ha proseguito spiegando che: "Una delle tattiche preferite è quella di includere file malevoli camuffati da Curriculum Vitae o documenti per ufficio, inclusi messaggi fax digitalizzati". Per di più è prevedibile che la tecnica preferita dai cybercriminali è quella del cosiddetto "spear phishing", inducendo la vittima ad aprire l'archivio infetto, in quanto quest'ultimo risulterà essere stato inviato apparentemente da parte di un amico, un collega o simili. In tal proposito la IntelCrawler ha concluso dichiarato che: "Spesso i file malevoli sono nascosti in file di tipo grafico, ma l'archivio è protetto da password, in modo tale da evitare completamente la scansione da parte degli antivirus". Un esempio di ciò è questa e-mail, contenente, appunto, un file compresso con all'interno un malware e protetto da password riporta nel testo della stessa e-mail. Infatti nell'e-mail presa come esempio i ricercatori hanno trovato un malware simile allo Zeus-Trojan, in grado di creare connessioni remote con capacità di amministratore dal computer infettato, (oltre che raccogliere password, informazioni di sistema), e di inviare il tutto ad un server di controllo in Turchia. Quindi, infine, il consiglio degli esperti è, come al solito, quelle di diffidare di e-mail dal contenuto insolito, evitando in particolar modo di aprire file compressi protetti da password.

Commenti