Dieser Hacker-Trick umgeht sogar Antivirenprogramme: Wie Windows-Malware in Zip-Dateien versteckt wird

Zip-Programme wie Winrar, 7Zip oder Winzip sind nützliche Tools. Windows-Nutzer:innen können damit mehrere Dateien in einem komprimierten Archiv zusammenfassen. Das ist nützlich, wenn die Dateien verschickt werden sollen, aber einzeln zu viel Speicherplatz einnehmen würden. Doch jetzt nutzen Hacker:innen das Prinzip von Zip-Tools gegen Windows-User:innen.
So wird Malware in Zip-Dateien versteckt
Wie Perception Point berichtet, machen sich Hacker:innen dabei eine Technik zunutze, die als Zip-Verkettung bezeichnet wird. Sie kombinieren mehrere Zip-Archive miteinander. So nehmen sie etwa eine Zip-Datei, die ein harmloses PDF ohne Malware enthält. Dieses kombinieren sie dann mit einem Zip, in dem der Code der Malware versteckt wurde. Zusammen ergeben diese Zip-Dateien ein neues Zip-Archiv, das auf den ersten Blick nur aus einer einzigen Datei besteht.
Viele Zip-Tools lesen beim Extrahieren nicht alle vorhandenen Zip-Dateien. So scannt 7Zip etwa das erste Archiv einer Datei. Das zweite Archiv mit der Malware wird nicht gescannt. Nutzer:innen bekommen nur eine Warnung, dass sich noch weitere Dateien in dem Zip-File befinden. Diese Warnung könnte von User:innen leicht weggeklickt werden und keinerlei Beachtung finden. Der Windows File Explorer konnte die Dateien nur nach einer Umbenennung des Zip-Archivs öffnen, was eine Entdeckung der Malware ebenfalls schwierig macht.
Wie die Sicherheitsexpert:innen von Perception Point betonen, verlassen sich zudem viele Antiviren- und Cybersecurity-Programme beim Scannen von Zip-Dateien auf Tools wie 7Zip, um die Archive zu erfassen. Wenn das Tool aber die Malware gar nicht beachtet, kann der Scan des Antivirenprogramms auch nichts entdecken. Im Test der Expert:innen konnte nur Winrar beide Dateien problemlos erkennen.
So schützt ihr euch vor der Masche der Hacker:innen
Perception Point hat bei den Entwickler:innen der Zip-Tools nachgefragt, ob es sich um einen Bug handeln könnte. Sie antworteten, dass das Verhalten der Tools so angedacht ist – und damit wohl künftig nicht angepasst wird. Dementsprechend müssen sich Windows-Nutzer:innen selbst schützen. Der einfachste Weg, um diesen Malware-Angriffen entgegenzuwirken, ist Vorsicht.
Denn die Malware kann nur auf eurem Windows-PC landen, wenn ihr das zugehörige Zip-Archiv herunterladet. Die Schadsoftware versteckt sich möglicherweise als Anhang in einer Mail oder als vermeintlich hilfreiche Datei auf einer Website. Wenn ihr Mail-Absender:innen nicht kennt oder ihr auf unbekannten Seiten surft, solltet ihr keine Dateien herunterladen.
Alternativ gibt es Antivirenprogramme, die sogenanntes „Recursive Unpacking“ nutzen, um verkettete Zip-Dateien aufzudecken. Die Programme decken die Archive von hinten nach vorn komplett auf und können so auch Malware enttarnen, die sich weiter hinten versteckt. Eine solche Software bietet etwa Perception Point selbst an.