Plik .ISO w mailu? Uważaj, to może być szkodnik!

E-maile w dalszym ciągu pozostają jedną z najczęściej używanych metod dostarczania szkodliwego oprogramowania. W nawiązaniu do raportu Verizonu[1], około 66% złośliwych aplikacji zostało zainstalowanych w wyniku otwarcia niebezpiecznego załącznika dołączonego do wiadomości.

Zgodnie z informacjami udostępnionych przez Emsisoft[2], najczęściej spotykanymi rozszerzeniami plików w szkodliwych mailach są pliki .EXE, .DOC, .PDF, .ZIP, .RAR itp. jednak plik .ISO jest zdecydowanie niespotykany. Rozszerzenie to wskazuje zazwyczaj na obraz, który może być zapisany na nośniku optycznym np. płycie DVD. Podobnie jak pliki .ZIP, .ISO jest archiwum danych, a jego nazwa pochodzi od standardu zapisu na płytach CD (ISO 9660).

Treść maila jest typowa dla ataków phishingowych. Odbiorca jest manipulowany by jak najszybciej otworzył załącznik. W ten sposób można uśpić czujność ofiary, która bardziej skupia się na chęci poznania treści załącznika, niż na fakcie pojawienia się dziwnej wiadomości.

Źródło: https://blog.emsisoft.com/en/32373/beware-new-wave-of-malware-spreads-via-iso-file-email-attachments/
Źródło: https://blog.emsisoft.com/en/32373/beware-new-wave-of-malware-spreads-via-iso-file-email-attachments/

Jak podaje Emsisoft, istnieją dwie przyczyny, dla których atakujący zdecydowali się na wykorzystanie pliku .ISO. Po pierwsze, niektóre programy antywirusowe nie skanują dokładnie plików .ISO ze względu na (zazwyczaj) jego bardzo dużą wielkość, sięgającą nawet do wielu gigabajtów. Oczywiście nic nie stoi na przeszkodzie by był mały z jedynie kilkoma liniami kodu. Po drugie otwarcie pliku .ISO nie wymaga już specjalistycznego oprogramowania, można to zrobić w prosty sposób z poziomu współczesnych Windowsów – podobnie jak podwójnym kliknięciem otwiera się każdy inny plik.

Zawsze należy pamiętać o tym, by zachować ostrożność przy otwieraniu maili i nie działać pod wpływem impulsu, chwili. Jeżeli przychodzi do nas nietypowa wiadomość lub od nieznanego nadawcy, należy zweryfikować czy nie jest to próba zainfekowania komputera.

[1]https://www.verizonenterprise.com/resources/reports/2017_dbir_en_xg.pdf
[2]https://blog.emsisoft.com/en/32373/beware-new-wave-of-malware-spreads-via-iso-file-email-attachments/