استفاده از فایل‌های آرشیو به‌عنوان ابزار انتقال بدافزارها در حال تحول است و این تحول چالش‌های جدیدی را برای دروازه‌های ایمیل امن (SEGs) ایجاد کرده است. طبق گزارش جدیدی که شرکت امنیت سایبری Cofense منتشر کرده، مجرمان سایبری از فرمت‌های مختلف آرشیو برای دور زدن پروتکل‌های امنیتی سوءاستفاده می‌کنند. این تغییرات به‌ویژه پس از به‌روزرسانی مهم ویندوز در اواخر سال ۲۰۲۳ شدت یافته است.

به گزارش سرویس سایبری رسانه اخبار فناوری تکنا، فایل‌های zip به‌عنوان رایج‌ترین فرمت آرشیو، همیشه یکی از ابزارهای محبوب مهاجمان برای انتقال بدافزار بوده‌اند. با این حال، پس از اضافه شدن پشتیبانی بومی ویندوز از فرمت‌هایی مانند rar، 7z و tar، اکنون تهدیدکنندگان سایبری از این فرمت‌ها نیز برای مقاصد خود استفاده می‌کنند. بر اساس آمارهای جدید، این فرمت‌ها به‌طور فزاینده‌ای در میان پیوست‌های مخرب دیده می‌شوند که در محیط‌های محافظت‌شده با SEG ارسال می‌شوند.

رمزگذاری فایل‌های آرشیو یکی از تکنیک‌های رایج در میان مهاجمان است. این تاکتیک مانع از تحلیل خودکار محتوای فایل‌ها توسط ابزارهای امنیتی می‌شود. بررسی‌های انجام‌شده توسط Cofense نشان می‌دهند که بین ماه‌های مه ۲۰۲۳ تا مه ۲۰۲۴، ۱۵ فرمت مختلف آرشیو در حملات بدافزاری شناسایی شده‌اند. همچنان فایل‌های zip بیشترین استفاده را داشته‌اند و حدود ۵۰ درصد از پیوست‌ها را تشکیل می‌دهند. اما پس از به‌روزرسانی ویندوز در اواخر ۲۰۲۳، فرمت‌هایی مانند rar، 7z و gz به‌شدت محبوب شده‌اند.

برخی از انواع بدافزار مانند StrelaStealer و NetSupport RAT، تمایل دارند از فایل‌های zip برای انتقال اطلاعات خود استفاده کنند. در حالی که دیگر بدافزارها، مانند سرقت‌کننده‌های اطلاعات و تروجان‌های دسترسی از راه دور (RATs)، بسته به نوع حمله از فرمت‌های متنوعی استفاده می‌کنند.

در حالی که تنها ۵ درصد از فایل‌های آرشیو مخرب شناسایی‌شده رمزگذاری‌شده بودند، این فایل‌ها به‌طور معمول از شناسایی عبور می‌کنند. دلیل این امر ناتوانی دروازه‌های ایمیل امن در شناسایی رمزهای عبور تعبیه‌شده در ایمیل‌های فریبنده است. این تاکتیک‌ها، همراه با استفاده از لینک‌های جاسازی‌شده که به سایت‌های میزبان بدافزار هدایت می‌شوند، به مهاجمان امکان می‌دهد از دیوارهای دفاعی عبور کنند.

برای مقابله با تهدیدات سایبری ناشی از فایل‌های آرشیو آلوده، سازمان‌ها باید از استراتژی‌های دفاعی چندلایه استفاده کنند. آموزش کارکنان اهمیت زیادی دارد؛ زیرا کارکنان آگاه می‌توانند فایل‌های مشکوک را شناسایی کنند، به‌ویژه فایل‌هایی با پسوندهای نامعمول یا انتهای دوگانه فریبنده مانند “.docx.zip”. علاوه بر این، سازمان‌ها باید استفاده از فرمت‌های آرشیوی با کاربرد تجاری محدود را مدنظر قرار دهند. فایل‌هایی همچون vhd(x) به ندرت برای ارتباطات ایمیلی ضروری هستند.

همچنین، دروازه‌های ایمیل امن باید مجهز به فناوری‌های پیشرفته‌ای برای تحلیل فرمت‌های واقعی فایل‌ها، شناسایی ناهماهنگی‌ها و مدیریت فایل‌های آرشیو رمزگذاری‌شده شوند. این اقدامات، همراه با افزایش آگاهی و به‌کارگیری ابزارهای امنیتی قوی‌تر، می‌توانند به مقابله موثر با تهدیدات ناشی از فایل‌های آرشیو آلوده کمک کنند.