Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе
Главная » Новости

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26
...
Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Albiriox: новый троян для Android крадёт деньги из банковских приложений
Екатерина Быстрова 01 Декабря 2025 - 12:23
Android Трояны Домашние пользователи
Albiriox: новый троян для Android крадёт деньги из банковских приложений

Исследователи из Cleafy обнаружили новую опасную вредоносную программу для Android — Albiriox. Это свежий банковский зловред, который уже называют одним из самых мощных за последнее время. Он нацелен на пользователей банковских приложений и криптовалютных сервисов по всему миру.

Albiriox распространяется по модели «вредонос как услуга» (MaaS): злоумышленники могут просто «арендовать» его за $650-720 в месяц.

Впервые специалисты Cleafy обратили внимание на активность Albiriox в сентябре 2025 года — тогда он тестировался в закрытом бета-режиме и распространялся только среди «уважаемых» участников киберпреступных форумов. К октябрю доступ стал публичным.

По данным исследователей, за проектом стоят русскоязычные киберпреступники: на это указывают и язык общения, и инфраструктура, и активность на форумах. Всего за пару месяцев вредонос вырос из закрытой беты в полноценный коммерческий инструмент — с рекламными роликами, «презентациями» и продвижением в Telegram.

 

Схема заражения довольно хитрая. Сначала жертве приходит СМС со ссылкой на поддельный сайт, маскирующийся под Google Play Store или популярные ретейл-приложения. Пользователь думает, что скачивает настоящее приложение, — а на деле устанавливает «дроппер», который потом подтягивает основной зловред.

 

После установки Albiriox показывает фальшивый экран «системного обновления» и просит разрешение на установку приложений из неизвестных источников. Получив его, вредонос разворачивает основной модуль и получает полный контроль над устройством.

Albiriox сочетает два мощных метода атаки:

  • удалённый доступ через VNC — злоумышленник видит экран телефона и может делать всё, что делает пользователь: нажимать кнопки, вводить текст, открывать приложения;
  • оверлеи — поверх банковских приложений накладываются фальшивые формы входа, чтобы украсть логины, пароли и другие данные.

Помимо этого, зловред может показывать чёрный экран, чтобы скрыть действия злоумышленников, пока они совершают несанкционированные операции.

Целью Albiriox стали более 400 финансовых приложений: банки, криптобиржи, кошельки, платёжные сервисы в разных странах. С точки зрения масштаба это явно инструмент для глобальных мошеннических кампаний.

Чтобы обходить защиту, вредонос использует собственный билдер, интегрированный с сервисом шифрования Golden Crypt, а также специальный метод потоковой передачи экрана через специальные возможности ОС (Accessibility Services) — это позволяет получать данные даже из тех банковских приложений, которые блокируют запись экрана.

Первые реальные атаки уже зафиксированы. Один из ранних случаев был в Австрии — жертв заманивали поддельной страницей Penny Market и СМС-сообщениями с укороченными ссылками.

Эксперты напоминают:

  • скачивать приложения стоит только из официальных магазинов;
  • не переходить по ссылкам из СМС и мессенджеров;
  • держать систему обновлённой;
  • включать двухфакторную аутентификацию;
  • использовать мобильные средства защиты.

По мнению специалистов, Albiriox — представитель нового поколения Android-банковских зловредов. Модель MaaS и активное развитие делают его особенно опасным — и есть риск, что в ближайшие месяцы он получит ещё большее распространение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Kaspersky добавила в OpenTIP карту покрытия MITRE ATT&CK
Новость
Kaspersky добавила в OpenTIP карту покрытия MITRE ATT&CK
Яндекс, Сбер, Минпросвет научат преподов видеть руку ИИ в работах студентов
Новость
Яндекс, Сбер, Минпросвет научат преподов видеть руку ИИ в ра...
Половина киберинцидентов в Roblox — попытки совращения детей
Новость
Половина киберинцидентов в Roblox — попытки совращения детей

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.