Полиглотные файлы помогают троянам незаметно проникать на устройства жертв

Вредоносную кампанию по распространению троянов StrRAT и Ratty обнаружила ИБ-компания Deep Instinct . Специалисты отмечают, что несмотря на широкую известность этих двух вредоносов, их операторы научились обходить некоторые антивирусные системы.

Полиглотные файлы объединяют в себе два или более форматов таким образом, чтобы их без ошибок могли запускать разные приложения. Хакеры уже несколько лет пользуются этой особенностью, скрывая с ее помощью вредоносный код и путая средства защиты.

По словам исследователей Deep Instinct, с 2018 года злоумышленники часто применяют тактику объединения форматов JAR и MSI в одном файле. JAR-файлы – это архивы, идентифицируемые записью в конце файла. В MSI-файлах для идентификации типа файла используется “magic header”, стоящий в начале файла, что позволяет использовать сразу два формата в одном файле. Это дает несколько преимуществ:

• Такие файлы могут исполняться как MSI в Windows и как JAR-файлы в среде выполнения Java;

• JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусами. Это позволяет злоумышленникам скрывать в них вредоносный код, тем самым обманывая антивирус, который сканирует чистую MSI-часть файла.

Кроме того, иногда злоумышленники комбинируют JAR и CAB-файлы, поскольку у последних тоже есть “magic header”.

Для распространения троянизированных полиглот-файлов хакеры используют Sendgrid и сервисы коротких ссылок, такие как Cutt.ly и Rebrand.ly. Полезные нагрузки StrRAT и Ratty хранятся в Discord и на болгарском хостинге BelCloud.