Pliki ISO i DAA w mailu? Uważaj, to prawdopodobnie atak!

Anonimowość w sieci

Spam i maile ze szkodliwym oprogramowaniem zazwyczaj kojarzą się z odpowiednio spreparowanym odnośnikiem (jak to ma miejsce np. w phishingu) lub załącznikiem zawierającym np. plik EXE czy też inny, spreparowany. Mimo, że forma ataku opisana poniżej nie jest nowością, to niestety jej udział w ogóle ataków poprzez pocztę elektroniczną z załącznikiem, jest dość wysoki i wynosi około 6%. 

Źródło: https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/
Źródło: https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/

Plik ISO czyli obraz dysku, jest we współczesnych systemach otwierany podwójnym kliknięciem, podobnie jak zwykłe pliki wykonywalne. Druga kwestia to to, że niektóre programy antywirusowe nie skanują dokładnie plików ISO, ponieważ z reguły mają one dużą wielkość, co może być problemem przy ograniczonym czasie na proces skanowania. Więcej na ten temat można poczytać w naszym wpisie z zeszłego roku, gdzie pliki ISO pod lupę wzięli specjaliści z Emsisoft. 

Źródło: https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/
Źródło: https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/

Właśnie z tego powodu – niższej wykrywalności i łatwego uruchamiania, bez konieczności stosowania specjalnego oprogramowania, ISO jest coraz częściej wykorzystywane do atakowania. Na powyższym przykładzie, plik ISO udaje PDF (miniatura), a w rzeczywistości otwarcie spowoduje infekcję.

Źródło: https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/
Źródło: https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/

Innym typem pliku jest DAA, ale w tym przypadku wymagane jest już specjalistyczne oprogramowanie do zamontowania (mount) na dysku. Jak podaje Trustwave, o którego dane oparty został artykuł w serwisie Bleeping Computer[1], atakujący starają się ostatnio więcej eksperymentować z różnymi formami archiwów (jak np. ISO), dlatego jeszcze baczniej należy się przyglądać korespondencji, która do nas przychodzi i uświadamiać pracowników/rodzinę, co do zagrożeń na jakie mogą trafić w sieci. 

[1] https://www.bleepingcomputer.com/news/security/uptick-seen-in-iso-email-attachments-delivering-malware/