На прошлой неделе исследователь Крис Азиз опубликовал информацию о новом способе обхода систем безопасности, якобы позволяющем протаскивать вредоносное ПО под видом обычного ZIP-архива. В свойствах каждого архива в этом формате есть поле Compression Method. При желании данные в архиве можно вовсе не сжимать, и тогда в этом поле будет прописано 0 (STORED). Обычный сжатый архив имеет свойство DEFLATE compressed. Защитному решению или архиватору данный статус указывает на то, что архив нужно сначала распаковать.
«Метод», предложенный Азизом, максимально простой. Устанавливаем в поле Compression Method статус STORED (сжатие отсутствует) для обычного архива со сжатием данных, у которого в норме должен быть флаг DEFLATE Compressed. Собственно, на этом все. Защитные решения доверяют описанию архива и сканируют его как контейнер с несжатыми данными. Так как на самом деле данные заархивированы, вредоносное содержимое не будет прочитано. Что открывает возможность «протаскивания» вредоносного кода на компьютер жертвы с последующим выполнением. Но именно на стадии выполнения вредоносного кода казалось бы стройная идея исследователя быстро рушится.
Сразу несколько экспертов отметили в комментариях изданию BleepingComputer, что предложенный метод обхода не работает. Дело в том, что свойствам архива доверяют не только защитные решения, но и архиваторы. Если предположить сценарий, в котором злоумышленник заставляет жертву скачать вредоносный архив, то далее его содержимое нужно распаковать и выполнить. Распаковать не получится: модифицированный файл выдает ошибку и во встроенном распаковщике Windows, и в архиваторах 7-Zip и WinRAR. Это признает сам первооткрыватель, но он также говорит, что для распаковки можно использовать кастомный распаковщик.
Однако и в этой логике есть проблема. Если на атакуемой системе работает кастомный распаковщик, то она уже скомпрометирована. Переслать такому «распаковщику» (а по сути — загрузчику следующей стадии кибератаки) данные можно разными способами. Не обязательно использовать модифицированный архив. Можно запаролить архив штатными средствами или использовать полноценное шифрование данных. По сравнению со множеством реальных уязвимостей, связанных с обработкой архивов, данная история определенно выглядит высосанной из пальца. Несмотря на это, «уязвимости» был присвоен (но потом, судя по всему отменен) идентификатор CVE-2026-0866.
Что еще произошло
Эксперты «Лаборатории Касперского» опубликовали новое исследование, в котором разбираются атаки на российских пользователей группировкой Toy Ghouls. Эта группа отличается креативным подходом к созданию записок о выкупе. Злоумышленники представляются монстром Лабубу и часто включают в свои послания аллюзии на сферу деятельности атакованной компании и едкие шутки в ее адрес. Также в активности Toy Ghouls были обнаружены признаки связи с группой Head Mare, в частности совпадения в используемых инструментах и сетевой инфраструктуре.
Microsoft сообщает о кампании по распространению вредоносных версий корпоративных VPN-клиентов Fortinet, Cisco и Ivanti. С помощью методов SEO-оптимизации поддельные веб-страницы продвигались в результатах поиска. Сами вредоносные файлы хостились на GitHub и использовали украденный легитимный сертификат разработчика. Целью атакующих были данные для доступа к корпоративной сети: после ввода информации в поддельном клиенте выводилось сообщение об ошибке, а ценная информация пересылалась злоумышленникам.
Две новые уязвимости нулевого дня закрыты в браузере Google Chrome. Всего за этот год в Google Chrome закрыты три уязвимости класса zero-day, а за весь прошлый год их было обнаружено восемь.
Исследователи из компании IBM обнаружили вредоносное ПО Slopoly, используемое в атаках на компании с последующим требованием выкупа. Зловред был, скорее всего, написан с помощью LLM, качеством исполнения не отличается, но работает.
Apple выпустила обновления для старых устройств (вплоть до iPhone 6s, iPad Air 2 и даже iPod Touch Gen 7) и соответствующих версий iOS 15 и 16, чтобы закрыть уязвимости, используемые эксплойт-китом Coruna. Этот набор эксплойтов был изучен специалистами Google в начале марта. Он используется в атаках с целью шпионажа и для кражи средств в криптовалюте.
Очередной ежемесячный набор патчей Microsoft закрывает 79 уязвимостей, включая две проблемы класса zero-day — в SQL Server и библиотеке .NET.
В новом отчете о безопасности облачных систем специалисты компании Google утверждают, что чаще всего корпоративная инфраструктура взламывается через уязвимости в ПО. Такой метод был использован в 44% изученных атак. Для сравнения: утечки паролей сотрудников использовались для первоначального проникновения только в 27% случаев. В 21% случаев точкой входа становилась неправильная конфигурация сервиса, в 5% — случайно засвеченный API или интерфейс внутреннего сервиса.
