Вложение формата .CAB (Cabinet)

15 января, 2026, 16:35

Вложение формата .CAB (Cabinet, CAB-файл) — это файл-архив, сжатый с использованием формата Microsoft Cabinet, который традиционно применяется для распространения установочных файлов ПО, драйверов и обновлений в среде операционных систем Windows. В контексте кибербезопасности электронной почты CAB-файлы, как и другие архивные форматы (ZIP, RAR), активно используются злоумышленниками для сокрытия и доставки вредоносного содержимого, обходя базовые фильтры почтовых систем и антивирусов, которые не всегда глубоко сканируют вложенные архивы.

Возможности и риски, связанные с CAB-вложениями:

  • Сокрытие вредоносной нагрузки (Malware Payload):
    • Маскировка исполняемых файлов: Вредоносные программы (.exe.scr.js.vbs) упаковываются в CAB-архив, чтобы избежать блокировки по расширению на почтовом шлюзе.
    • Обфускация и многослойность: Внутри CAB-архива может находиться другой архив (например, ZIP или RAR), а внутри него — финальная вредоносная нагрузка. Это усложняет статический анализ.
    • Использование уязвимостей в обработчиках CAB: Исторически существовали уязвимости (например, связанные с библиотекой cabinet.dll), которые позволяли выполнить код при простом открытии или предпросмотре архива.
  • Фишинговые техники:
    • Имитация важных документов: Архив может быть назван как Документы_по_сделке.cabСчет_ООО_Ромашка.cab, побуждая жертву открыть его.
    • Использование паролей на архив: Пароль к архиву указывается в теле письма. Это не только создает ложное чувство безопасности у жертвы, но и целенаправленно обходит системы автоматического сканирования, которые не могут распаковать защищенный паролем архив.
  • Особенности формата CAB: Является родным для Windows, что может снижать уровень подозрений у пользователя по сравнению с экзотическими форматами. Некоторые версии Windows позволяют открывать CAB-файлы как папки, что также может ввести в заблуждение.

CAB-файлы, наряду с .ISO и .IMG, относятся к категории «контейнерных форматов», требующих особого внимания при фильтрации входящей почты. Для защиты необходимо:

  1. Настроить почтовые шлюзы (Secure Email Gateway) на блокировку или песочничное (sandbox) сканирование всех входящих архивных файлов, особенно с паролями.
  2. Обновлять антивирусные и EDR-системы для обеспечения способности распаковывать и анализировать вложенные CAB-архивы.
  3. Обучать пользователей не открывать непроверенные вложения, даже если они выглядят как архивы с документами, и всегда проверять расширение файла (.cab — является тревожным сигналом для обычного документа).
  4. Применять политики ограничения типов файлов, разрешенных к приему по электронной почте.

Тот факт, что CAB — это легитимный формат Microsoft, делает его идеальной ловушкой для атак, рассчитанных на эксплуатацию доверия пользователей к знакомым типам файлов.

Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Упоминаний не найдено.