Штатные функции декомпрессора SFX-архивов позволяют запускать PowerShell и скрипты без обнаружения антивирусами
Злоумышленники используют штатные возможности декомпрессора самораспаковывающегося (SFX) архива WinRAR или 7-Zip для запуска в привилегированном режиме PowerShell и скриптов для внедрения зловредов на ПК с ОС Windows без реагирования на эту ситуацию со стороны антивирусных средств защиты.
Эксперты компании по информационной безопасности CrowdStrike выяснили, что этот вектор атаки последнее время стал очень популярен из-за его простоты и возможности скрыть активность от пользователя, например, такой SFX-архив можно запустить с экрана входа в систему с наивысшими привилегиями NT AUTHORITY\SYSTEM. Хакеры просто добавляют вредоносные функции в самораспаковывающиеся архивы WinRAR, содержащие безвредные файлы-приманки. Это позволяет скрытно внедрять бэкдоры на ПК пользователей.
Исследователи CrowdStrike обнаружили группу злоумышленников, которая использовала украденные учётные данные для компрометации системной утилиты utilman.exe с помощью SFX-файла, который ранее был внедрён в систему. Utilman — это приложение для специальных возможностей, которое можно запустить до входа пользователя в систему. Хакеры часто используют эту утилиту для обхода системной аутентификации в ОС Windows.
Пример цепочки действий злоумышленника с использованием SFX-архива для обмана антивирусного ПО.
«Этот тип атаки, скорее всего, останется пропущен традиционным антивирусным программным обеспечением, которое ищет вредоносное ПО внутри архива, а не реагирует на поведение в системе после запуска декомпрессора SFX-архива», — пояснили исследователи.
Эксперты советуют пользователям и системным администраторам уделять особое внимание SFX-архивам и использовать соответствующее ПО для проверки содержимого архивов и поиска потенциальных сценариев или команд, запланированных для запуска при их извлечении.
