I ricercatori di Deep Instinct hanno scoperto nuovi attacchi che sfruttano i file poliglotti per distribuire due malware RAT, ovvero StrRAT e Ratty. Questa tecnica è piuttosto efficace perché combinando due formati vengono spesso aggirate le protezioni di Windows e delle soluzione di sicurezza. Gli utenti devono comunque installare un antivirus, in quanto i produttori rilasciano aggiornamenti specifici per questo tipo di minaccia.
StrRAT e Ratty con file poliglotti
La tecnica è stata individuata per la prima volta nel 2018, quando la combinazione MSI+JAR ha permesso di aggirare la verifica delle firme del codice. Un file poliglotta viene ottenuto unendo due formati differenti, ma può essere aperto senza errore dalle rispettive applicazioni. Per distribuire StrRAT e Ratty sono state sfruttate le combinazioni MSI+JAR e CAB+JAR.
Il formato MSI usa un identificatore all’inizio del file, mentre nel formato JAR è alla fine del file. Tutta la “spazzatura” aggiunta prima dell’identificatore JAR viene ignorata. In questo caso la spazzatura è il codice dei malware RAT. Un antivirus effettua la scansione della parte MSI (pulita) del file poliglotta, ma non sempre effettua la scansione della parte JAR, in quanto i file JAR non sono eseguibili, ma archivi ZIP.
Al posto del formato MSI viene utilizzato anche il formato CAB (che usa un identificatore all’inizio del file), in modo da ottenere la combinazione CAB+JAR. I file poliglotti che nascondono i due RAT sono stati distribuiti tramite servizi di URL shortening, Sendgrid e Discord.
Ti potrebbe interessare
14 gen 2023