File poliglotti per distribuire due malware RAT

File poliglotti per distribuire due malware RAT

Due noti malware RAT per Windows (StrRAT e Ratty) sono stati distribuiti mediante file poliglotti ottenuti combinando i formati MSI+JAR e CAB+JAR.
Due noti malware RAT per Windows (StrRAT e Ratty) sono stati distribuiti mediante file poliglotti ottenuti combinando i formati MSI+JAR e CAB+JAR.

I ricercatori di Deep Instinct hanno scoperto nuovi attacchi che sfruttano i file poliglotti per distribuire due malware RAT, ovvero StrRAT e Ratty. Questa tecnica è piuttosto efficace perché combinando due formati vengono spesso aggirate le protezioni di Windows e delle soluzione di sicurezza. Gli utenti devono comunque installare un antivirus, in quanto i produttori rilasciano aggiornamenti specifici per questo tipo di minaccia.

StrRAT e Ratty con file poliglotti

La tecnica è stata individuata per la prima volta nel 2018, quando la combinazione MSI+JAR ha permesso di aggirare la verifica delle firme del codice. Un file poliglotta viene ottenuto unendo due formati differenti, ma può essere aperto senza errore dalle rispettive applicazioni. Per distribuire StrRAT e Ratty sono state sfruttate le combinazioni MSI+JAR e CAB+JAR.

Il formato MSI usa un identificatore all’inizio del file, mentre nel formato JAR è alla fine del file. Tutta la “spazzatura” aggiunta prima dell’identificatore JAR viene ignorata. In questo caso la spazzatura è il codice dei malware RAT. Un antivirus effettua la scansione della parte MSI (pulita) del file poliglotta, ma non sempre effettua la scansione della parte JAR, in quanto i file JAR non sono eseguibili, ma archivi ZIP.

Al posto del formato MSI viene utilizzato anche il formato CAB (che usa un identificatore all’inizio del file), in modo da ottenere la combinazione CAB+JAR. I file poliglotti che nascondono i due RAT sono stati distribuiti tramite servizi di URL shortening, Sendgrid e Discord.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Deep Instinct
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 gen 2023
Link copiato negli appunti