Passwordbeskyttede ZIP-filer med malware slipper igennem mailscannere

DKCERT har fået underretninger om, at der i stigende grad rundsendes passwordbeskyttede ZIP-filer med malware, der kan gå direkte gennem mailscannere.

Underretningen kommer fra en af DKCERTs samarbejdspartnere, der har observeret højere trafik end sædvanligt med passwordbeskyttede ZIP-filer.

Problemet med passwordbeskyttede ZIP-filer er, at de som regel går lettere igennem mailscannerløsninger, da mailscannere ikke kan åbne filerne. Dermed leveres de direkte til klienten, som inficeres, når brugerne åbner filen. Det eneste forsvar på klienten er antivirus, Endpoint-beskyttelse og konfigurationen af Office Makro. 

Historisk set fejler antivirus imidlertid over for denne type angreb, fordi afsenderen kan mutere filerne. Dermed opdages de ikke af antivirusprodukterne, der skal kende vira for at kunne blokere dem.

I mange tilfælde er det dermed opsætningen på klienten, der er den bærende beskyttelse. For at være sikker bør man derfor blokere for alle vedhæftede ZIP-filer, som er passwordbeskyttede. 

Alternativet er bl.a. at hærde Office Makro, hvis man ikke allerede har gjort det.

Links:

https://www.ncsc.gov.uk/guidance/macro-security-for-microsoft-office

https://www.cyber.gov.au/publications/hardening-microsoft-office-365-pro...

https://yoroi.company/research/a-new-complex-infection-chain-to-deliver-...

https://www.proofpoint.com/us/corporate-blog/post/ta505-and-others-launc...

https://twitter.com/malware_traffic/status/1240296101955108864

https://www.itsecuritynews.info/phishing-attempts-impersonate-who-to-del...