惡意軟體GootLoader透過1千個ZIP檔串接的壓縮檔傳送,企圖迴避防毒軟體偵測
技術背景與攻擊手法
MDR資安業者Expel針對惡意程式載入工具GootLoader最新一波攻擊提出警告,駭客採用約500至1,000個ZIP檔進行串接,使得研究人員慣用的分析工具或是第三方解壓縮工具,都無法正確解析其內容,進而讓惡意軟體得以隱藏。
惡意內容的隱藏機制
駭客透過修改ZIP檔案的結構,製造出「畸形」的壓縮檔,利用不同解壓縮工具對ZIP檔案解析方式的差異,讓惡意內容不易被察覺。此技術不僅能繞過傳統防毒軟體的偵測,還能透過多層壓縮結構,進一步隱藏惡意載荷。
實際案例與影響範圍
- 安全研究人員發現,GootLoader惡意軟體活動再度活躍,其透過精妙的新型規避技術,將惡意程式隱藏在ZIP壓縮檔中,成功逃避多數資安檢測。
- 攻擊者將多達一千個ZIP檔案串連成一個壓縮檔,並透過電子郵件發送,引導用戶下載與解壓縮,進而執行惡意指令。
- 部分攻擊案例中,還會刻意註明「壓縮檔內的工具可能會被防毒軟體誤判」,以降低收件人的戒心,並引導用戶暫時停用防毒軟體。
相關技術與防禦建議
此類攻擊手法被稱為「ZIP串接技術」(ZIP Concatenation),駭客利用此技術生成夾帶惡意軟體的壓縮檔,並附加至電子郵件中,造成資安危害。對WinRAR等常用解壓縮工具使用者而言,此技術可能導致嚴重安全風險。
專家建議,用戶應避免隨意解壓縮來自不明來源的ZIP檔案,並定期更新防毒軟體與系統,以提升對畸形壓縮檔的辨識能力。