I ricercatori di sicurezza di Deep Instinct hanno recentemente rilevato e segnalato l'esistenza di nuovi attacchi informatici che sfruttano i file poliglotti per la distribuzione di StrRAT e Ratty, due malware RAT piuttosto insidiosi.
Malware: StrRAT e Ratty distribuiti con file poliglotti
Stando a quanto reso noto, i file poliglotti che nascondono i due RAT sono stati distribuiti tramite servizi di URL shortening, Sendgrid e Discord.
La tecnica in questione risulta essere particolarmente efficace in quanto vengono combinati due formati capaci di aggirare le protezioni di Windows e dei software di sicurezza, il che comunque non deve lasciare pensare che non sia necessario ricorrere all’uso di soluzioni antivirus, come ad esempio l’ottimo Norton 360 Premium che in questo periodo viene anche proposto in forte sconto rispetto al prezzo d'origine e che è compatibile con tutti i principali sistemi operativi e dispositivi.
In merito alla tecnica adottata per la diffusione delle minacce, per distribuire StrRAT e Ratty sono state sfruttate le combinazioni MSI+JAR e CAB+JAR. Il formato MSI usa un identificatore all’inizio del file, mentre nel formato JAR è alla fine del file.
Tutto quanto viene aggiunto prima dell’identificatore JAR è ignorato, ovvero il codice dei malware RAT. Per cui, un antivirus esegue la scansione della parte MSI del file poliglotta, ma di rado effettua l'analisi pure della parte JAR, in quanto non si tratta di eseguibili, ma di archivi ZIP.
Al posto del formato MSI viene adoperato anche il formato CAB, il quale adotta anch'esso un identificatore all’inizio del file.