Новости Полиглотные файлы помогают троянам незаметно проникать на устройства жертв

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Операторы StrRAT и Ratty используют полиглотные файлы, чтобы сделать трояны менее заметными.​


f46n403s3osot9w1csnm4fdalrk9ch62.jpg


Вредоносную кампанию по распространению троянов StrRAT и Ratty Для просмотра ссылки Войди или Зарегистрируйся ИБ-компания Deep Instinct. Специалисты отмечают, что несмотря на широкую известность этих двух вредоносов, их операторы научились обходить некоторые антивирусные системы.

Полиглотные файлы объединяют в себе два или более форматов таким образом, чтобы их без ошибок могли запускать разные приложения. Хакеры уже несколько лет пользуются этой особенностью, скрывая с ее помощью вредоносный код и путая средства защиты.

По словам исследователей Deep Instinct, с 2018 года злоумышленники часто применяют тактику объединения форматов JAR и MSI в одном файле. JAR-файлы – это архивы, идентифицируемые записью в конце файла. В MSI-файлах для идентификации типа файла используется “magic header”, стоящий в начале файла, что позволяет использовать сразу два формата в одном файле. Это дает несколько преимуществ:

  • Такие файлы могут исполняться как MSI в Windows и как JAR-файлы в среде выполнения Java;
  • JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусами. Это позволяет злоумышленникам скрывать в них вредоносный код, тем самым обманывая антивирус, который сканирует чистую MSI-часть файла.

Кроме того, иногда злоумышленники комбинируют JAR и CAB-файлы, поскольку у последних тоже есть “magic header”.

Для распространения троянизированных полиглот-файлов хакеры используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Полезные нагрузки StrRAT и Ratty хранятся в Discord и на болгарском хостинге BelCloud.
 
Источник новости
www.securitylab.ru

Похожие темы