Aanvallers verspreiden e-mailbijlagen met Tar-bestanden om zo beveiligingswaarschuwingen van Windows te omzeilen en systemen met malware te infecteren. Dat laat Didier Stevens weten, handler bij het Internet Storm Center (ISC). Tar is een archiefformaat dat op Unix-systemen wordt gebruikt.
Windows-gebruikers kunnen Tar-bestanden standaard niet uitpakken, tenzij er een archiveringsprogramma is geïnstalleerd. Dit kan een nadeel voor de aanvallers zijn, aangezien de gebruiker extra software geïnstalleerd moet hebben. Het heeft echter ook een voordeel. Normaal zijn bestanden die van het internet afkomstig zijn voorzien van het "mark-of-the-web", maar dat geldt niet voor bestanden die zijn ingepakt en vervolgens worden uitgepakt.
Programma's zoals Outlook voorzien een e-mailbijlage van het mark-of-the-web wanneer die wordt geopend of opgeslagen. Wanneer een Tar-bestand wordt uitgepakt ontbreekt het mark-of-the-web. Gebruikers die het uitvoerbare bestand in het Tar-bestand vervolgens openen zullen dan ook geen beveiligingswaarschuwing te zien krijgen.
Naast Tar maken aanvallers ook gebruik van andere archiefformaten, zoals ISO, JAR en ARJ. "Het gebruik van minder populaire archiefformaten op Windows zorgt ervoor dat aanvallers detectie kunnen omzeilen en het aantal waarschuwingen kunnen verminderen, met het risico dat een Windows-computer het archief niet kan openen", aldus Stevens.
Deze posting is gelocked. Reageren is niet meer mogelijk.