Καμπάνια RAT malware χρησιμοποιεί πολύγλωσσα αρχεία για να μην εντοπιστεί: Οι χειριστές των remote access trojan StrRAT και Ratty (RAT) εκτελούν μια νέα καμπάνια χρησιμοποιώντας πολύγλωσσα αρχεία MSI/JAR και CAB/JAR για να αποφύγουν τον εντοπισμό από εργαλεία ασφαλείας.
Η Deep Instinct ανακάλυψε την εκστρατεία και εντόπισε ότι χρησιμοποιήθηκαν δύο RATs για την προσπάθεια αποφυγής της ανίχνευσης από προγράμματα προστασίας από ιούς, παρά το γεγονός ότι και τα δύο είναι γνωστές απειλές. Αυτό είναι ένα εντυπωσιακό κατόρθωμα δεδομένης της ηλικίας αυτών των παραλλαγών κακόβουλου λογισμικού.
Δείτε επίσης: Google Play Store και App Store έχουν γεμίσει με ψεύτικα ChatGPT app
Αξιοποιώντας τη δύναμη των πολύγλωσσων αρχείων, είναι δυνατό να συνδυαστούν δύο ή περισσότερες μορφές αρχείων με απρόσκοπτο τρόπο, ώστε να μπορούν να εκκινηθούν και να ερμηνευθούν από πολλαπλές εφαρμογές χωρίς καμία ταλαιπωρία.
Εδώ και αρκετά χρόνια, οι εγκληματίες του κυβερνοχώρου βασίζονται σε πολύγλωσσα αρχεία για να αποκρύψουν τον κακόβουλο κώδικά τους, να παραπλανήσουν τις λύσεις ασφαλείας και να παρακάμψουν τις δικλείδες ασφαλείας.
Πιο πρόσφατα, παρατηρήσαμε το κακόβουλο λογισμικό StrelaStealer να εκμεταλλεύεται αυτή την τεχνική για να στοχεύει λογαριασμούς Outlook και Thunderbird.
Παρά την προσπάθεια της Microsoft να αντιμετωπίσει τη δυσκολία με τη χρήση ενός συστήματος ανίχνευσης που βασίζεται σε υπογραφές, οι χρήστες εξακολουθούν να μπορούν να παρακάμψουν αυτό το μέτρο ασφαλείας. Ως αποτέλεσμα, τα πολύγλωσσα αρχεία αξιοποιούνται για κακόβουλους σκοπούς.
Πολυγλωσσική εκστρατεία RAT
Η Deep Instinct ανακάλυψε πρόσφατα μια τεχνική, η οποία χρησιμοποιείται από το 2018 και χρησιμοποιείται στην πιο πρόσφατη εκστρατεία διανομής RAT – ο συνδυασμός των μορφών JAR και MSI σε ένα ενιαίο αρχείο.
Είναι ευκολότερο για τους κακόβουλους φορείς να ενώνουν αρχεία JAR και MSI, δεδομένου ότι τα πρώτα διακρίνονται από το τελικό τους αρχείο, ενώ τα δεύτερα έχουν ένα μοναδικό αναγνωριστικό στην αρχή τους.
Αυτή η διπλή μορφή τους επιτρέπει να εκτελούνται ως MSI στα Windows και επίσης να εκτελούνται ως αρχείο JAR από το Java runtime.
Δείτε επίσης: Χάκερ εκμεταλλεύονται σημαντική ευπάθεια στο Control Web Panel
Τα αρχεία Java Archive (JAR) δεν μπορούν να εκτελεστούν όπως τα εκτελέσιμα αρχεία, γεγονός που καθιστά δυσκολότερο τον εντοπισμό τους από τα εργαλεία anti-virus. Κατά συνέπεια, μπορεί να κρυφτεί κακόβουλος κώδικας και το AV θα σαρώσει μόνο το τμήμα MSI του αρχείου, το οποίο ούτως ή άλλως θα φαινόταν καθαρό. Αυτό αυξάνει τις πιθανότητες ενός χάκερ να διεισδύσει απαρατήρητος στο σύστημά σας.
Σε σύγκριση με άλλες παρόμοιες περιπτώσεις των ίδιων δύο οικογενειών RAT, η Deep Instinct παρατήρησε συνδυασμούς CAB/JAR αντί για MSI. Επιπλέον, λόγω των μαγικών επικεφαλίδων τους για την ερμηνεία των τύπων αρχείων, τα CAB είναι επίσης ιδανικοί υποψήφιοι όταν πρόκειται να συνδυαστούν με τα JAR σε πολυγλωσσική μορφή.
Αυτή η εκστρατεία χρησιμοποιεί polyglots που παραδίδονται μέσω του Sendgrid και λύσεων συντόμευσης URL, όπως το Cutt.ly και το Rebrand.ly, ενώ τα payloads StrRATs και Ratty διατηρούνται ασφαλή σε διακομιστές Discord.
Τα πολυγλώσσα CAB/JAR εντοπίστηκαν από έξι από τις 59 μηχανές AV στο Virus Total, ενώ 30 προμηθευτές ασφάλειας κατέγραψαν θετικό αποτέλεσμα για τα πολυγλώσσα MSI/JAR. Έτσι, τα ποσοστά ανίχνευσης κυμαίνονται από 10-50%.
Σύμφωνα με την Deep Instinct, πολλά από τα ερευνώμενα κακόβουλα προγράμματα StrRAT και Ratty επικοινωνούν χρησιμοποιώντας μια ενιαία διεύθυνση C2 και φιλοξενούνται από έναν πανομοιότυπο βουλγαρικό πάροχο hosting.
Δείτε επίσης: Royal Mail: Η παραβίαση συνδέεται με την ομάδα ransomware LockBit
Ως εκ τούτου, είναι πιθανό να χρησιμοποιούνται και οι δύο ποικιλίες σε μια ενιαία επιχείρηση που διευθύνεται από το ίδιο άτομο.
Για όσους δεν γνωρίζουν: Ένα trojan απομακρυσμένης πρόσβασης (RAT) είναι ένα κακόβουλο πρόγραμμα λογισμικού που επιτρέπει στον επιτιθέμενο να αποκτήσει τον έλεγχο ενός άλλου υπολογιστή και να τον χρησιμοποιήσει για να κλέψει δεδομένα, να παρακολουθήσει τη δραστηριότητα ή να εξαπολύσει άλλες επιθέσεις. Τα RAT συνήθως διαδίδονται μέσω κακόβουλων ιστότοπων ή μηνυμάτων ηλεκτρονικού ταχυδρομείου και μπορούν να χρησιμοποιηθούν για την κατασκοπεία ανυποψίαστων χρηστών και την κλοπή ευαίσθητων δεδομένων.
Πηγή πληροφοριών: bleepingcomputer.com
...){kind=link}