Самораспаковывающиеся WinRAR-архивы незаметно запускают PowerShell в атаках

Екатерина Быстрова 04 Апреля 2023 - 09:12

...

Самораспаковывающиеся WinRAR-архивы незаметно запускают PowerShell в атаках

Киберпреступники начали добавлять вредоносную функциональность к самораспаковывающимся архивам WinRAR. Как правило, такие архивы содержат безобидные файлы, выступающие в качестве приманки, что позволяет атакующим обойти защитные системы.

Самораспаковывающиеся архивы (SFX), создаваемые с помощью софта вроде WinRAR или 7-Zip, в целом представляют собой исполняемые файлы. Они содержат архивированные данные вместе со встроенным кодом для их распаковки.

Чтобы предотвратить несанкционированный доступ к таким файлам, их можно защитить паролем. Основное назначение SFX-файлов — упростить передачу архивированных данных тем пользователям, у которых нет утилиты для декомпрессии.

В ходе расследования одного из недавних инцидентов специалисты компании CrowdStrike наткнулись на использование самораспаковывающихся архивов в киберпреступных целях. Анализ показал, что за атакой стояла группировка, задействовавшая скомпрометированные учётные данные для использования utilman.exe в злонамеренных целях.

Utilman — это приложение, которое можно запустить до того, как пользователь вошёл в систему. Зачастую злоумышленники используют его для обхода аутентификации в ОС. В описанном CrowdStrike случае утилита применялась для запуска запароленного SFX-файла, предварительно помещённого в систему жертвы.

В защищённом паролем архиве содержался тестовый файл, выступающий в качестве приманки. Настоящая же задача этого SFX заключалась в использовании настроек WinRAR для запуска PowerShell, командной строки Windows (cmd.exe) и Диспетчера задач с правами ОС.

Как только жертва распаковывала текстовый файл, запускался целый ряд команд. Тем не менее классической вредоносной программы в архиве не было. Киберпреступники добавили несколько команд, открывающих бэкдор в системе.

Всё дело в том, что возможности WinRAR позволяют установить особые настройки SFX и добавить список исполняемых файлов, которые будут запускаться до и после процесса. Специалисты Crowdstrike считают, что такой подход к атакам позволит обойти среднестатистические антивирусы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Проект Мультисканер будет перезапущен

Яков Шпунт 13 Ноября 2025 - 09:28

Соответствие законодательству РФ Корпорации Государство

Генеральный директор Национального технологического центра цифровой криптографии Игорь Качалин сообщил, что проект «Мультисканер», приостановленный в июне 2025 года из-за нехватки финансирования, будет возобновлён. По его словам, перезапуск сервиса ожидается ориентировочно в середине 2026 года.

Об этом Качалин рассказал корреспонденту ТАСС на полях форума «Цифровые решения». Он отметил, что вопросы финансирования уже решаются, и подготовительные работы по возобновлению проекта ведутся.

Проект «Мультисканер» был запущен в 2021 году и задумывался как российская альтернатива зарубежному сервису VirusTotal. В его создании участвовали государственные ведомства, включая ФСБ России, а также ведущие отечественные антивирусные компании — «Лаборатория Касперского», «Доктор Веб» и «АВ Софт». Последняя рабочая версия сервиса вышла весной 2024 года.

В июне 2025 года «Мультисканер» прекратил работу из-за отсутствия финансирования. Рынок на это событие почти не отреагировал.