Операторы StrRAT и Ratty используют полиглотные файлы, чтобы сделать трояны менее заметными.
Вредоносную кампанию по распространению троянов StrRAT и Ratty обнаружила ИБ-компания Deep Instinct. Специалисты отмечают, что несмотря на широкую известность этих двух вредоносов, их операторы научились обходить некоторые антивирусные системы.
Полиглотные файлы объединяют в себе два или более форматов таким образом, чтобы их без ошибок могли запускать разные приложения. Хакеры уже несколько лет пользуются этой особенностью, скрывая с ее помощью вредоносный код и путая средства защиты.
По словам исследователей Deep Instinct, с 2018 года злоумышленники часто применяют тактику объединения форматов JAR и MSI в одном файле. JAR-файлы – это архивы, идентифицируемые записью в конце файла. В MSI-файлах для идентификации типа файла используется “magic header”, стоящий в начале файла, что позволяет использовать сразу два формата в одном файле. Это дает несколько преимуществ:
Такие файлы могут исполняться как MSI в Windows и как JAR-файлы в среде выполнения Java;
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусами. Это позволяет злоумышленникам скрывать в них вредоносный код, тем самым обманывая антивирус, который сканирует чистую MSI-часть файла.
Кроме того, иногда злоумышленники комбинируют JAR и CAB-файлы, поскольку у последних тоже есть “magic header”.
Для распространения троянизированных полиглот-файлов хакеры используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Полезные нагрузки StrRAT и Ratty хранятся в Discord и на болгарском хостинге BelCloud.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале